此页面由 Cloud Translation API 翻译。

收集 Aruba 交换机日志

支持的平台：

Google SecOps SIEM

此解析器使用 Grok 模式从 Aruba 交换机 syslog 消息中提取字段，并将其映射到 UDM 模型。它会处理各种字段，包括时间戳、主机名、应用名称、进程 ID、事件 ID 和说明，并填充相关的 UDM 字段。事件类型的设置取决于是否存在主要信息。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您拥有对 Aruba 交换机的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane Agent

对于 Windows 安装，请运行以下脚本：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
对于 Linux 安装，请运行以下脚本：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps

访问安装了 Bindplane 的机器。

按如下方式修改 config.yaml 文件：

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

重启 Bindplane 代理以应用更改：
```
sudo systemctl restart bindplane
```

在 Aruba 交换机上配置 Syslog

通过控制台连接到 Aruba 交换机：
```
  ssh admin@<switch-ip>
```
通过网页界面连接到 Aruba 交换机：
- 前往 Aruba 交换机 Web GUI。
- 使用交换机的管理员凭据进行身份验证。
使用 CLI 配置启用 Syslog：
- 进入全局配置模式：
```
configure terminal
```
- 指定外部 syslog 服务器：
```
logging <bindplane-ip>:<bindplane-port>
```
- 将 <bindplane-ip> 和 <bindplane-port> 替换为 Bindplane 代理的地址。
可选：设置日志记录严重级别：
```
  logging severity <level>
```
注意：严重级别范围为 0（紧急）到 7（调试）。
可选：添加自定义日志源标识符（标记）：
```
  logging facility local5
```
保存配置：
```
  write memory
```
使用 Web 界面配置启用 Syslog：
- 登录 Aruba 交换机网页界面。
- 依次前往系统 > 日志 > Syslog。
- 添加 Syslog 服务器参数：
- 输入 BindPlane IP 地址。
- 输入 Bindplane 端口。
- 设置严重级别以控制日志的详细程度。
- 点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
`app`	`principal.application`	原始日志中的 `app` 字段的值会直接分配给 `principal.application`。
`description`	`security_result.description`	原始日志中的 `description` 字段的值会直接分配给 `security_result.description`。
`event_id`	`additional.fields.key`	字符串“event_id”分配给 `additional.fields.key`。
`event_id`	`additional.fields.value.string_value`	原始日志中的 `event_id` 字段的值会直接分配给 `additional.fields.value.string_value`。
`host`	`principal.asset.hostname`	原始日志中的 `host` 字段的值会直接分配给 `principal.asset.hostname`。
`host`	`principal.hostname`	原始日志中的 `host` 字段的值会直接分配给 `principal.hostname`。
`pid`	`principal.process.pid`	原始日志中的 `pid` 字段的值会直接分配给 `principal.process.pid`。
`ts`	`metadata.event_timestamp`	原始日志中的 `ts` 字段的值会转换为时间戳并分配给 `metadata.event_timestamp`。此时间戳也用于 UDM 中的顶级 `timestamp` 字段。`metadata.event_type` 设置为“STATUS_UPDATE”，因为当原始日志中存在 `host` 字段时，解析器中的 `principal_mid_present` 变量会设置为“true”。字符串“ARUBA_SWITCH”会分配给解析器中的 `metadata.product_name`。字符串“ARUBA SWITCH”会分配给解析器中的 `metadata.vendor_name`。解析器会尝试使用 `client.userAgent.rawUserAgent` 从原始日志中提取和解析用户代理。如果成功，系统会将解析后的用户代理分配给 `network.http.parsed_user_agent`。不过，由于提供的原始日志不包含此字段，因此此 UDM 字段可能为空。解析器会尝试使用 `client.userAgent.rawUserAgent` 从原始日志中提取原始用户代理。如果成功，系统会将原始用户代理分配给 `network.http.user_agent`。不过，由于提供的原始日志不包含此字段，因此此 UDM 字段可能为空。

变化

2024-04-18

新创建的解析器。