收集 Aruba 交换机日志
支持的平台:
Google SecOps
SIEM
此解析器使用 Grok 模式从 Aruba 交换机 syslog 消息中提取字段,并将其映射到 UDM 模型。它会处理各种字段,包括时间戳、主机名、应用名称、进程 ID、事件 ID 和说明,并填充相关的 UDM 字段。事件类型的设置取决于是否存在主要信息。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用了 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Aruba 交换机的超级用户访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 访问安装了 BindPlane 的机器。
按如下方式修改
config.yaml
文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: aruba_switch raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
重启 BindPlane 代理以应用更改:
sudo systemctl restart bindplane
在 Aruba 交换机上配置 Syslog
通过控制台连接到 Aruba 交换机:
ssh admin@<switch-ip>
通过网页界面连接到 Aruba 交换机:
- 前往 Aruba 交换机 Web GUI。
- 使用交换机的管理员凭据进行身份验证。
使用 CLI 配置启用 Syslog:
进入全局配置模式:
configure terminal
指定外部 syslog 服务器:
logging <bindplane-ip>:<bindplane-port>
将
<bindplane-ip>
和<bindplane-port>
替换为您的绑定平面代理的地址。
可选:设置日志记录严重级别:
logging severity <level>
可选:添加自定义日志源标识符(标记):
logging facility local5
保存配置:
write memory
使用 Web 界面配置启用 Syslog:
- 登录 Aruba 交换机网页界面。
- 依次前往系统 > 日志 > Syslog。
- 添加 Syslog 服务器参数:
- 输入 BindPlane IP 地址。
- 输入 Bindplane 端口。
- 设置严重级别以控制日志的详细程度。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
app |
principal.application |
原始日志中的 app 字段的值会直接分配给 principal.application 。 |
description |
security_result.description |
原始日志中的 description 字段的值会直接分配给 security_result.description 。 |
event_id |
additional.fields.key |
字符串“event_id”分配给 additional.fields.key 。 |
event_id |
additional.fields.value.string_value |
原始日志中的 event_id 字段的值会直接分配给 additional.fields.value.string_value 。 |
host |
principal.asset.hostname |
原始日志中的 host 字段的值会直接分配给 principal.asset.hostname 。 |
host |
principal.hostname |
原始日志中的 host 字段的值会直接分配给 principal.hostname 。 |
pid |
principal.process.pid |
原始日志中的 pid 字段的值会直接分配给 principal.process.pid 。 |
ts |
metadata.event_timestamp |
原始日志中的 ts 字段的值会转换为时间戳并分配给 metadata.event_timestamp 。此时间戳也用于 UDM 中的顶级 timestamp 字段。metadata.event_type 设置为“STATUS_UPDATE”,因为当原始日志中存在 host 字段时,解析器中的 principal_mid_present 变量会设置为“true”。字符串“ARUBA_SWITCH”会分配给解析器中的 metadata.product_name 。字符串“ARUBA SWITCH”会分配给解析器中的 metadata.vendor_name 。解析器会尝试使用 client.userAgent.rawUserAgent 从原始日志中提取和解析用户代理。如果成功,系统会将解析后的用户代理分配给 network.http.parsed_user_agent 。不过,由于提供的原始日志不包含此字段,因此此 UDM 字段可能为空。解析器会尝试使用 client.userAgent.rawUserAgent 从原始日志中提取原始用户代理。如果成功,系统会将原始用户代理分配给 network.http.user_agent 。不过,由于提供的原始日志不包含此字段,因此此 UDM 字段可能为空。 |
更改
2024-04-18
- 新创建的解析器。