收集 Aruba 交换机日志

支持的平台:

此解析器使用 Grok 模式从 Aruba 交换机 syslog 消息中提取字段,并将其映射到 UDM 模型。它会处理各种字段,包括时间戳、主机名、应用名称、进程 ID、事件 ID 和说明,并填充相关的 UDM 字段。事件类型的设置取决于是否存在主要信息。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 Aruba 交换机的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

  1. 对于 Windows 安装,请运行以下脚本:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 对于 Linux 安装,请运行以下脚本:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问安装了 BindPlane 的机器。
  2. 按如下方式修改 config.yaml 文件:

      receivers:
          tcplog:
              # Replace the below port <54525> and IP <0.0.0.0> with your specific values
              listen_address: "0.0.0.0:54525" 
    
      exporters:
          chronicle/chronicle_w_labels:
              compression: gzip
              # Adjust the creds location below according the placement of the credentials file you downloaded
              creds: '{ json file for creds }'
              # Replace <customer_id> below with your actual ID that you copied
              customer_id: <customer_id>
              endpoint: malachiteingestion-pa.googleapis.com
              # You can apply ingestion labels below as preferred
              ingestion_labels:
              log_type: SYSLOG
              namespace: aruba_switch
              raw_log_field: body
      service:
          pipelines:
              logs/source0__chronicle_w_labels-0:
                  receivers:
                      - tcplog
                  exporters:
                      - chronicle/chronicle_w_labels
    
  3. 重启 BindPlane 代理以应用更改:

    sudo systemctl restart bindplane
    

在 Aruba 交换机上配置 Syslog

  1. 通过控制台连接到 Aruba 交换机:

      ssh admin@<switch-ip>
    
  2. 通过网页界面连接到 Aruba 交换机:

    • 前往 Aruba 交换机 Web GUI。
    • 使用交换机的管理员凭据进行身份验证。
  3. 使用 CLI 配置启用 Syslog

    • 进入全局配置模式:

      configure terminal
      
    • 指定外部 syslog 服务器:

      logging <bindplane-ip>:<bindplane-port>
      
    • <bindplane-ip><bindplane-port> 替换为您的绑定平面代理的地址。

  4. 可选:设置日志记录严重级别

      logging severity <level>
    
  5. 可选:添加自定义日志源标识符(标记):

      logging facility local5
    
  6. 保存配置:

      write memory
    
  7. 使用 Web 界面配置启用 Syslog

    • 登录 Aruba 交换机网页界面。
    • 依次前往系统 > 日志 > Syslog
    • 添加 Syslog 服务器参数:
    • 输入 BindPlane IP 地址。
    • 输入 Bindplane 端口
    • 设置严重级别以控制日志的详细程度。
    • 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
app principal.application 原始日志中的 app 字段的值会直接分配给 principal.application
description security_result.description 原始日志中的 description 字段的值会直接分配给 security_result.description
event_id additional.fields.key 字符串“event_id”分配给 additional.fields.key
event_id additional.fields.value.string_value 原始日志中的 event_id 字段的值会直接分配给 additional.fields.value.string_value
host principal.asset.hostname 原始日志中的 host 字段的值会直接分配给 principal.asset.hostname
host principal.hostname 原始日志中的 host 字段的值会直接分配给 principal.hostname
pid principal.process.pid 原始日志中的 pid 字段的值会直接分配给 principal.process.pid
ts metadata.event_timestamp 原始日志中的 ts 字段的值会转换为时间戳并分配给 metadata.event_timestamp。此时间戳也用于 UDM 中的顶级 timestamp 字段。metadata.event_type 设置为“STATUS_UPDATE”,因为当原始日志中存在 host 字段时,解析器中的 principal_mid_present 变量会设置为“true”。字符串“ARUBA_SWITCH”会分配给解析器中的 metadata.product_name。字符串“ARUBA SWITCH”会分配给解析器中的 metadata.vendor_name。解析器会尝试使用 client.userAgent.rawUserAgent 从原始日志中提取和解析用户代理。如果成功,系统会将解析后的用户代理分配给 network.http.parsed_user_agent。不过,由于提供的原始日志不包含此字段,因此此 UDM 字段可能为空。解析器会尝试使用 client.userAgent.rawUserAgent 从原始日志中提取原始用户代理。如果成功,系统会将原始用户代理分配给 network.http.user_agent。不过,由于提供的原始日志不包含此字段,因此此 UDM 字段可能为空。

更改

2024-04-18

  • 新创建的解析器。