HPE iLO-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie HPE iLO-Logs (Hewlett Packard Enterprise Integrated Lights-Out) mit Bindplane in Google Security Operations aufnehmen. Der Parsercode versucht zuerst, die Roh-Logmeldung als JSON zu parsen. Wenn das fehlschlägt, werden reguläre Ausdrücke (grok
-Muster) verwendet, um Felder aus der Nachricht basierend auf gängigen HP iLO-Logformaten zu extrahieren.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Windows 2016 oder höher oder Linux-Host mit systemd
- Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
- Privilegierter Zugriff auf HPE iLO
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Zusätzliche Installationsressourcen
Weitere Installationsoptionen finden Sie im Installationsleitfaden.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Greifen Sie auf die Konfigurationsdatei zu:
- Suchen Sie die Datei
config.yaml
. Normalerweise befindet es sich unter Linux im Verzeichnis/etc/bindplane-agent/
oder unter Windows im Installationsverzeichnis. - Öffnen Sie die Datei mit einem Texteditor (z. B.
nano
,vi
oder Notepad).
- Suchen Sie die Datei
Bearbeiten Sie die Datei
config.yaml
so:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: HPE_ILO raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie
<customer_id>
durch die tatsächliche Kunden-ID.Aktualisieren Sie
/path/to/ingestion-authentication-file.json
auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart bindplane-agent
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
net stop BindPlaneAgent && net start BindPlaneAgent
Syslog in HP iLO konfigurieren
- Melden Sie sich in der HPE iLO-Web-UI an.
- Rufen Sie den Tab Verwaltung > Remote-Syslog auf.
- Klicken Sie auf Enable (Aktivieren) für iLO Remote Syslog.
- Geben Sie die folgenden Konfigurationsdetails an:
- Remote-Syslog-Port: Geben Sie die Bindplane-Portnummer ein (z. B.
514
). - Remote-Syslog-Server: Geben Sie die Bindplane-IP-Adresse ein.
- Remote-Syslog-Port: Geben Sie die Bindplane-Portnummer ein (z. B.
- Klicken Sie auf Test-Syslog senden und prüfen Sie, ob er in Google SecOps empfangen wurde.
- Klicken Sie auf Übernehmen.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
data |
Dieses Feld wird geparst und je nach Inhalt verschiedenen UDM-Feldern zugeordnet. | |
data.HOSTNAME |
principal.hostname | Wird zugeordnet, wenn das erste Grok-Muster im Feld „message“ übereinstimmt oder wenn das Feld „description“ „Host“ enthält. Gibt an, ob event_type STATUS_UPDATE ist. |
data.HOSTNAME |
network.dns.questions.name | Wird durch das Grok-Muster „DATA“ in „message“ ausgefüllt. Wird verwendet, um dns.questions zu füllen, wenn es nicht leer ist und nicht „(?i)not found“ enthält. |
data.HOSTNAME |
target.user.user_display_name | Wird durch das Grok-Muster „DATA“ in „message“ ausgefüllt. |
data.IP |
target.ip | Wird durch Grok-Muster ausgefüllt, die mit „IP“ in „message“ oder „summary“ übereinstimmen. |
data.WORD |
metadata.product_event_type | Wird durch das Grok-Muster „WORD“ in „message“ ausgefüllt. |
data.GREEDYDATA |
security_result.summary | Wird durch das Grok-Muster „GREEDYDATA“ in „message“ ausgefüllt. Wird verwendet, um network.application_protocol und event_type anhand des Inhalts zu bestimmen. |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | Wird vom Datums-Plug-in basierend auf verschiedenen Zeitstempelformaten ausgefüllt. |
data.MONTHNUM |
Nicht zugeordnet | |
data.MONTHDAY |
Nicht zugeordnet | |
data.YEAR |
Nicht zugeordnet | |
data.TIME |
Nicht zugeordnet | |
data.HOST |
principal.hostname | Wird zugeordnet, wenn das zweite Grok-Muster im Feld „message“ übereinstimmt. |
data.INT |
Nicht zugeordnet | |
data.UserAgent |
network.http.user_agent | Wird zugeordnet, wenn das Feld description User-Agent enthält. |
data.Connection |
security_result.description | Wird zugeordnet, wenn das Feld description Connection enthält. |
– | metadata.event_type | Die Standardeinstellung ist GENERIC_EVENT . Änderungen an STATUS_UPDATE , wenn data.HOSTNAME erfolgreich principal.hostname zugeordnet wird, NETWORK_DNS , wenn question ausgefüllt ist, oder USER_LOGIN , wenn summary Browser login enthält. |
– | metadata.vendor_name | Hartcodiert auf HP . |
– | metadata.log_type | Legen Sie HPE_ILO fest. |
– | network.application_protocol | Wird auf LDAP gesetzt, wenn summary LDAP enthält, oder auf DNS , wenn question ausgefüllt ist. |
– | extensions.auth.type | Wird auf MACHINE gesetzt, wenn summary den Wert Browser login enthält. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten