이 문서에서는 Bindplane 에이전트를 사용하여 Automation Anywhere 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 SYSLOG + KV 형식 로그에서 주요 정보를 추출하고, 구조화된 형식으로 변환하고, 통합 데이터 모델 (UDM) 필드에 매핑하여 표준화된 보안 분석 및 이벤트 상관관계를 지원합니다. 특히 로그 데이터에서 사용자 작업, 리소스 상호작용, 보안 결과를 식별하는 데 중점을 둡니다.
시작하기 전에
Google SecOps 인스턴스가 있는지 확인합니다.
Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이 config.yaml 파일을 수정합니다.
receivers:udplog:# Replace the port and IP address as requiredlisten_address:"0.0.0.0:514"exporters:chronicle/chronicle_w_labels:compression:gzip# Adjust the path to the credentials file you downloaded in Step 1creds:'/path/to/ingestion-authentication-file.json'# Replace with your actual customer ID from Step 2customer_id:<customer_id>
endpoint:malachiteingestion-pa.googleapis.com# Add optional ingestion labels for better organizationingestion_labels:log_type:AUTOMATION_ANYWHEREraw_log_field:bodyservice:pipelines:logs/source0__chronicle_w_labels-0:receivers:-udplogexporters:-chronicle/chronicle_w_labels
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Automation Anywhere에서 Syslog 구성
Automation Anywhere Control Room 웹 UI에 로그인합니다.
관리 > 설정 > 네트워크 설정으로 이동합니다.
더하기 (+)를 클릭합니다.
syslog 구성 세부정보를 제공합니다.
Syslog 서버: Bindplane IP 주소입니다.
포트: Bindplane 포트 번호 (예: UDP의 경우 514).
프로토콜: UDP를 선택합니다.
선택사항: 사용자 보안 연결: 이 구성은 TCP 통신에만 사용할 수 있습니다.
변경사항 저장을 클릭합니다.
UDM 매핑 테이블
로그 필드
UDM 매핑
논리
활동 시간
metadata.event_timestamp
이벤트의 타임스탬프는 원시 로그의 ACTIVITY AT 필드에서 가져옵니다.
작업을 수행한 관리자
target.user.userid
작업을 수행한 사용자는 원시 로그의 ACTION TAKEN BY 필드에서 가져옵니다.
작업 유형
security_result.summary
취해진 조치의 요약은 원시 로그의 ACTION TYPE 필드에서 가져옵니다.
상품 이름
target.file.full_path
이벤트와 관련된 파일 또는 항목의 이름은 원시 로그의 ITEM NAME 필드에서 가져옵니다.
요청 ID
target.user.product_object_id
요청의 고유 식별자는 원시 로그의 REQUEST ID 필드에서 가져옵니다.
소스
metadata.product_event_type
이벤트의 소스는 원시 로그의 SOURCE 필드에서 가져옵니다.
소스 기기
target.hostname | target.ip
SOURCE DEVICE 필드에 유효한 IP 주소가 포함된 경우 target.ip에 매핑됩니다. 그렇지 않으면 target.hostname에 매핑됩니다.
STATUS
security_result.action
보안 작업 (ALLOW, BLOCK, UNKNOWN_ACTION)은 원시 로그의 STATUS 필드를 기반으로 결정됩니다. Successful은 ALLOW에 매핑되고, Unsuccessful은 BLOCK에 매핑되고, Unknown은 UNKNOWN_ACTION에 매핑됩니다.
-
metadata.event_type
이벤트 유형은 일련의 정규 표현식 일치를 사용하여 원시 로그의 ACTION TYPE 필드를 기반으로 결정됩니다. 일치하는 항목이 없으면 기본값은 GENERIC_EVENT입니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# Collect Automation Anywhere logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nThis document explains how you to ingest Automation Anywhere logs to Google Security Operations by using a Bindplane agent. The parser extracts key information from SYSLOG + KV format logs, transforms it into a structured format, and maps it to the Unified Data Model (UDM) fields, enabling standardized security analysis and event correlation. It specifically focuses on identifying user actions, resource interactions, and security outcomes from the log data.\n\nBefore you begin\n----------------\n\n- Ensure that you have a Google SecOps instance.\n- Ensure that you are using Windows 2016 or later, or a Linux host with `systemd`.\n- If running behind a proxy, ensure firewall [ports](/chronicle/docs/ingestion/use-bindplane-agent#verify_the_firewall_configuration) are open.\n- Ensure that you have privileged access to Automation Anywhere.\n\n### Get Google SecOps ingestion authentication file\n\n1. Sign in to the Google SecOps console.\n2. Go to **SIEM Settings \\\u003e Collection Agents**.\n3. Download the **Ingestion Authentication File**. Save the file securely on the system where Bindplane will be installed.\n\nGet Google SecOps customer ID\n-----------------------------\n\n1. Sign in to the Google SecOps console.\n2. Go to **SIEM Settings \\\u003e Profile**.\n3. Copy and save the **Customer ID** from the **Organization Details** section.\n\nInstall the Bindplane agent\n---------------------------\n\n### Windows installation\n\n1. Open the **Command Prompt** or **PowerShell** as an administrator.\n2. Run the following command:\n\n msiexec /i \"https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi\" /quiet\n\n### Linux installation\n\n1. Open a terminal with root or sudo privileges.\n2. Run the following command:\n\n sudo sh -c \"$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)\" install_unix.sh\n\n### Additional installation resources\n\n- For additional installation options, consult this [installation guide](/chronicle/docs/ingestion/use-bindplane-agent#install_the_bindplane_agent).\n\nConfigure the Bindplane agent to ingest Syslog and send to Google SecOps\n------------------------------------------------------------------------\n\n1. Access the configuration file:\n\n 1. Locate the `config.yaml` file. Typically, it's in the `/etc/bindplane-agent/` directory on Linux or in the installation directory on Windows.\n 2. Open the file using a text editor (for example, `nano`, `vi`, or Notepad).\n2. Edit the `config.yaml` file as follows:\n\n receivers:\n udplog:\n # Replace the port and IP address as required\n listen_address: \"0.0.0.0:514\"\n\n exporters:\n chronicle/chronicle_w_labels:\n compression: gzip\n # Adjust the path to the credentials file you downloaded in Step 1\n creds: '/path/to/ingestion-authentication-file.json'\n # Replace with your actual customer ID from Step 2\n customer_id: \u003ccustomer_id\u003e\n endpoint: malachiteingestion-pa.googleapis.com\n # Add optional ingestion labels for better organization\n ingestion_labels:\n log_type: AUTOMATION_ANYWHERE\n raw_log_field: body\n\n service:\n pipelines:\n logs/source0__chronicle_w_labels-0:\n receivers:\n - udplog\n exporters:\n - chronicle/chronicle_w_labels\n\n3. Replace the port and IP address as required in your infrastructure.\n\n4. Replace `\u003ccustomer_id\u003e` with the actual customer ID.\n\n5. Update `/path/to/ingestion-authentication-file.json` to the path where the authentication file was saved in the\n [Get Google SecOps ingestion authentication file](/chronicle/docs/ingestion/default-parsers/automation-anywhere#get-auth-file) section.\n\nRestart the Bindplane agent to apply the changes\n------------------------------------------------\n\n- To restart the Bindplane agent in Linux, run the following command:\n\n sudo systemctl restart bindplane-agent\n\n- To restart the Bindplane agent in Windows, you can either use the **Services** console or enter the following command:\n\n net stop BindPlaneAgent && net start BindPlaneAgent\n\nConfigure Syslog on Automation Anywhere\n---------------------------------------\n\n1. Sign in to the **Automation Anywhere Control Room** web UI.\n2. Go to **Administration \\\u003e Settings \\\u003e Network settings**.\n3. Click **plus (+)**.\n4. Provide the syslog configuration details:\n - **Syslog server**: Bindplane IP address.\n - **Port** : Bindplane port number (for example, `514` for **UDP**).\n - **Protocol** : Select **UDP**.\n - Optional: **User Secure Connection** : This configuration is available only for **TCP** communication.\n5. Click **Save changes**.\n\nUDM Mapping Table\n-----------------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]