此页面由 Cloud Translation API 翻译。

收集 Dell ECS 日志

支持的平台：

Google SecOps SIEM

此解析器会从 DELL ECS syslog 消息中提取字段，并将其映射到 UDM。它专门处理 UPDATE 和 DELETE 事件类型，会提取登录/退出事件的用户和 IP 信息。其他事件被归类为 GENERIC_EVENT。它使用 Grok 模式解析消息，并通过更改过滤条件来填充 UDM 字段，从而丢弃与预期格式不匹配的事件。

准备工作

确保您有一个 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用了带有 systemd 的 Linux 主机。
如果在代理后面运行，请确保防火墙端口处于打开状态。
确保您拥有对 Dell ECS 的超级用户访问权限。

获取 Google SecOps 提取身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次选择 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane Agent

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，该目录位于安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: dell_ecs
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构中的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
在获取 Google SecOps 提取身份验证文件部分中，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 BindPlane 代理以应用更改

在 Linux 中，如需重启 BindPlane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
在 Windows 中，如需重启 BindPlane Agent，您可以使用 Services 控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置 Dell ECS 以将日志转发到 Syslog 服务器

使用管理员凭据登录 ECS 管理门户。
依次前往设置 > 事件通知 > Syslog。
点击新建服务器。
提供以下详细信息：
- 协议：选择 UDP 或 TCP（确保与 Syslog 服务器上配置的协议一致）。
- 目标：输入 syslog 服务器的 IP 地址或完全限定域名 (FQDN)。
- 端口：输入端口号。
- 严重程度：选择信息作为要转发的日志的最低严重级别。
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
data	read_only_udm.metadata.description	如果 eventType 为 UPDATE，系统会使用正则表达式从 data 字段中提取说明。如果 eventType 为 DELETE，系统会使用正则表达式从 data 字段中提取说明，并进一步处理以提取用户 ID。
data	read_only_udm.principal.ip	如果 eventType 为 UPDATE，系统会使用正则表达式从 data 字段中提取 IP 地址。
data	read_only_udm.target.resource.product_object_id	如果 eventType 为 DELETE，系统会使用正则表达式从 data 字段中提取 URN 令牌。
data	read_only_udm.target.user.userid	如果 eventType 为 UPDATE，系统会使用正则表达式从 data 字段中提取用户 ID。如果 eventType 为 DELETE，系统会在对 data 字段进行初始处理后，从 description 字段中提取用户 ID。
eventType	read_only_udm.metadata.event_type	如果 eventType 为 UPDATE 且提取了 userid，则事件类型会设为 USER_LOGIN。如果 eventType 为 DELETE 且提取了 userid，则事件类型会设为 USER_LOGOUT。否则，事件类型会设置为 GENERIC_EVENT。
eventType	read_only_udm.metadata.product_event_type	此值是通过将原始日志中的 serviceType 和 eventType 字段串联而得，并用方括号括起来并以“-”分隔。
hostname	read_only_udm.principal.asset.hostname	主机名会从 hostname 字段复制。
hostname	read_only_udm.principal.hostname	主机名会从 hostname 字段复制。
log_type	read_only_udm.metadata.log_type	日志类型设置为 DELL_ECS。该机制已硬编码为 MECHANISM_UNSPECIFIED。事件时间戳会从原始日志条目的 timestamp 字段复制。产品名称已硬编码为 ECS。供应商名称已硬编码为 DELL。如果 eventType 为 DELETE，则资源类型会硬编码为 CREDENTIAL。
时间戳	read_only_udm.metadata.event_timestamp	事件时间戳取自原始日志条目的 timestamp 字段。
时间戳	时间戳	系统会从原始日志条目的 timestamp 字段解析时间戳。

更改

2024-03-18

新创建的解析器。