Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log tombol Aruba

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak kolom dari pesan syslog Aruba menggunakan pola grok dan memetakan kolom tersebut ke model UDM. Fungsi ini menangani berbagai kolom, termasuk stempel waktu, nama host, nama aplikasi, ID proses, ID peristiwa, dan deskripsi, yang mengisi kolom UDM yang relevan. Jenis peristiwa ditetapkan berdasarkan keberadaan informasi akun utama.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda memiliki Windows 2016 atau yang lebih baru atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke tombol Aruba.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

Akses komputer tempat Bindplane diinstal.

Edit file config.yaml sebagai berikut:

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Mulai ulang Agen Bindplane untuk menerapkan perubahan:
```
sudo systemctl restart bindplane
```

Mengonfigurasi Syslog di Switch Aruba

Hubungkan ke tombol Aruba melalui Konsol:
```
  ssh admin@<switch-ip>
```
Hubungkan ke tombol Aruba melalui Antarmuka Web:
- Buka GUI web Aruba switch.
- Lakukan autentikasi dengan kredensial administrator tombol akses.
Aktifkan Syslog menggunakan konfigurasi CLI:
- Masuk ke mode konfigurasi global:
```
configure terminal
```
- Tentukan server syslog eksternal:
```
logging <bindplane-ip>:<bindplane-port>
```
- Ganti <bindplane-ip> dan <bindplane-port> dengan alamat agen Bindplane Anda.
Opsional: Tetapkan tingkat keparahan logging:
```
  logging severity <level>
```
Catatan: Tingkat keparahan berkisar dari 0 (darurat) hingga 7 (debug).
Opsional: Tambahkan ID (tag) sumber log kustom:
```
  logging facility local5
```
Simpan konfigurasi:
```
  write memory
```
Aktifkan Syslog menggunakan Konfigurasi Antarmuka Web:
- Login ke antarmuka web switch Aruba.
- Buka Sistem > Log > Syslog.
- Tambahkan parameter server syslog:
- Masukkan alamat IP Bindplane.
- Masukkan Port Bindplane.
- Tetapkan Tingkat Keparahan untuk mengontrol panjang log.
- Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`app`	`principal.application`	Nilai kolom `app` dari log mentah langsung ditetapkan ke `principal.application`.
`description`	`security_result.description`	Nilai kolom `description` dari log mentah langsung ditetapkan ke `security_result.description`.
`event_id`	`additional.fields.key`	String "event_id" ditetapkan ke `additional.fields.key`.
`event_id`	`additional.fields.value.string_value`	Nilai kolom `event_id` dari log mentah langsung ditetapkan ke `additional.fields.value.string_value`.
`host`	`principal.asset.hostname`	Nilai kolom `host` dari log mentah langsung ditetapkan ke `principal.asset.hostname`.
`host`	`principal.hostname`	Nilai kolom `host` dari log mentah langsung ditetapkan ke `principal.hostname`.
`pid`	`principal.process.pid`	Nilai kolom `pid` dari log mentah langsung ditetapkan ke `principal.process.pid`.
`ts`	`metadata.event_timestamp`	Nilai kolom `ts` dari log mentah dikonversi menjadi stempel waktu dan ditetapkan ke `metadata.event_timestamp`. Stempel waktu juga digunakan untuk kolom `timestamp` tingkat teratas di UDM. `metadata.event_type` ditetapkan ke "STATUS_UPDATE" karena variabel `principal_mid_present` ditetapkan ke "true" di parser saat kolom `host` ada dalam log mentah. String "ARUBA_SWITCH" ditetapkan ke `metadata.product_name` dalam parser. String "ARUBA SWITCH" ditetapkan ke `metadata.vendor_name` dalam parser. Parser mencoba mengekstrak dan mengurai agen pengguna dari log mentah menggunakan `client.userAgent.rawUserAgent`. Jika berhasil, agen pengguna yang diuraikan akan ditetapkan ke `network.http.parsed_user_agent`. Namun, karena log mentah yang diberikan tidak berisi kolom ini, kolom UDM ini kemungkinan akan kosong. Parser mencoba mengekstrak agen pengguna mentah dari log mentah menggunakan `client.userAgent.rawUserAgent`. Jika berhasil, agen pengguna mentah akan ditetapkan ke `network.http.user_agent`. Namun, karena log mentah yang diberikan tidak berisi kolom ini, kolom UDM ini kemungkinan akan kosong.

Perubahan

2024-04-18

Parser yang baru dibuat.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.