Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 vsftpd 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 vsftpd 記錄擷取至 Google Security Operations。

vsftpd (Very Secure FTP Daemon) 是一種 FTP 伺服器，會針對 FTP 連線、檔案傳輸、驗證事件和工作階段活動產生系統記錄訊息。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 vsftpd 伺服器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
vsftpd 伺服器的 root 或 sudo 存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為RUNNING。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/vsftpd:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: VSFTPD
        raw_log_field: body

service:
    pipelines:
        logs/vsftpd_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/vsftpd

設定參數

替換下列預留位置：

接收器設定：
- listen_address：要接聽的 IP 位址和通訊埠：
  - 0.0.0.0，監聽所有介面 (建議)
  - 通訊埠 514 是標準的系統記錄通訊埠 (在 Linux 上需要根層級權限；非根層級權限請使用 1514)
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：從 Google SecOps 控制台複製的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 vsftpd 的系統記錄轉送

編輯 vsftpd 設定檔：
```
sudo nano /etc/vsftpd.conf
```
設定下列參數：
```
syslog_enable=YES
log_ftp_protocol=YES
```
設定 rsyslog 轉送 vsftpd 記錄。編輯 /etc/rsyslog.conf 或建立新檔案 /etc/rsyslog.d/vsftpd.conf：
```
sudo nano /etc/rsyslog.d/vsftpd.conf
```
新增下列轉送規則 (將 <bindplane-ip> 替換為 Bindplane 代理程式 IP 位址)：
```
if $programname == 'vsftpd' then @<bindplane-ip>:514
```

重新啟動 vsftpd 和 rsyslog，以套用變更：

sudo systemctl restart vsftpd
sudo systemctl restart rsyslog

UDM 對應表

記錄欄位	UDM 對應	邏輯
`certificate`	`security_result.detection_fields.key`：「cert」 `security_result.detection_fields.value`：`certificate` 的值	`certificate` 欄位的值會對應至含有「cert」鍵的 `security_result.detection_fields` 物件。
`cipher`	`network.tls.cipher`	`cipher` 欄位的值會直接對應。
`client_ip`	`principal.ip`	`client_ip` 欄位的值會直接對應。
`date`	`metadata.event_timestamp`	與 `month`、`year` 和 `time` 搭配使用，可建構 `metadata.event_timestamp`。格式衍生自原始記錄中的 `timestamp` 欄位，並經過剖析和轉換為時間戳記物件。
`day`	`metadata.event_timestamp`	與 `month`、`year` 和 `time` 搭配使用，可建構 `metadata.event_timestamp`。
`desc`	`metadata.description`	`desc` 欄位的值 (從 `type` 欄位擷取) 會直接對應。這適用於「MKDIR」、「RMDIR」和「DELETE」作業。
`description`	`network.ftp.command` `security_result.description` `target.file.full_path`	如果 `type` 是「FTP 指令」，則值會對應至 `network.ftp.command`。如果 `type` 為「DEBUG」，且不符合特定 SSL 模式，則會對應至 `security_result.description`。如果 `type` 以「OK」開頭，但不是「OK LOGIN」，且記錄說明檔案作業 (MKDIR、RMDIR、DELETE)，則會對應至 `target.file.full_path`。
`file_name`	`target.file.full_path`	`file_name` 欄位的值會直接對應。
`file_size`	`network.received_bytes` `network.sent_bytes`	如果 `type` 是「OK DOWNLOAD」或「FAIL DOWNLOAD」，系統會將值轉換為不帶正負號的整數，並對應至 `network.received_bytes`。如果 `type` 是「OK UPLOAD」或「FAIL UPLOAD」，系統會將值轉換為不帶正負號的整數，並對應至 `network.sent_bytes`。如果 `type` 為「OK LOGIN」，請設為「USER_LOGIN」。如果 `type` 與檔案作業相關 (「OK UPLOAD」、「OK DOWNLOAD」、「FAIL DOWNLOAD」、「OK MKDIR」、「OK RMDIR」、「OK DELETE」、「FAIL UPLOAD」)，請設為「FILE_UNCATEGORIZED」。所有其他 `type` 值都設為「STATUS_UPDATE」。一律設為「VSFTPD」。一律設為「VSFTPD」。一律設為「VSFTPD」。
`month`	`metadata.event_timestamp`	與 `day`、`year` 和 `time` 搭配使用，可建構 `metadata.event_timestamp`。
`pid`	`principal.process.pid`	`pid` 欄位的值會直接對應。
`response_code`	`network.http.response_code`	`response_code` 欄位的值會轉換為整數並對應。
`reused_status`	`security_result.detection_fields.key`：「reused status」 `security_result.detection_fields.value`：`reused_status` 的值	`reused_status` 欄位的值會對應至以「reused status」為鍵的 `security_result.detection_fields` 物件。
`speed`	`additional.fields.key`：「download_speed」或「upload_speed」 `additional.fields.value.string_value`：`speed` 的值	如果 `type` 是「OK DOWNLOAD」或「FAIL DOWNLOAD」，則值會對應至 `additional.fields`，並使用「download_speed」鍵。如果 `type` 為「OK UPLOAD」或「FAIL UPLOAD」，則值會對應至 `additional.fields`，並使用「upload_speed」鍵。
`ssl_shutdown_state`	`security_result.detection_fields.key`: "SSL Shutdown State" `security_result.detection_fields.value`: value of `ssl_shutdown_state`	`ssl_shutdown_state` 欄位的值會對應至以「SSL Shutdown State」為鍵的 `security_result.detection_fields` 物件。
`ssl_version`	`network.tls.version`	`ssl_version` 欄位的值會直接對應。
`time`	`metadata.event_timestamp`	與 `day`、`month` 和 `year` 搭配使用，可建構 `metadata.event_timestamp`。
`type`	`metadata.description` `security_result.action_details`	`type` 欄位的值會對應至 `metadata.description`，但「OK LOGIN」除外。如果表示允許或封鎖動作 (以「OK」或「FAIL」開頭)，也會對應至 `security_result.action_details`。
`userid`	`principal.user.userid` `target.user.userid`	如果 `type` 是「OK LOGIN」，則值會對應至 `target.user.userid`。否則會對應至 `principal.user.userid`。
`year`	`metadata.event_timestamp`	與 `day`、`month` 和 `time` 搭配使用，可建構 `metadata.event_timestamp`。如果 `type` 為「OK LOGIN」，請設為「NETWORK」。如果 `type` 為「OK LOGIN」，請設為「MACHINE」。如果 `type` 開頭為「OK」，請設為「ALLOW」。如果 `type` 以「FAIL」開頭，請設為「BLOCK」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。