Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Veritas NetBackup

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Veritas NetBackup ke Google Security Operations menggunakan Bindplane. Parser mengekstrak kolom dari pesan syslog menggunakan pola grok, lalu memetakannya ke Model Data Terpadu (UDM). Log ini menangani berbagai format log, termasuk pasangan nilai kunci dan JSON, serta melakukan transformasi data untuk representasi yang konsisten di UDM.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

Instance Google SecOps
Windows 2016 atau yang lebih baru atau host Linux dengan systemd
Jika berjalan di belakang proxy, pastikan port firewall terbuka
Akses istimewa ke appliance Veritas NetBackup

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VERITAS_NETBACKUP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Syslog untuk Veritas NetBackup

Login ke UI web NetBackup Appliance Shell.
BUKA Main > Settings > LogForwarding.
Pilih Aktifkan.
Berikan detail konfigurasi berikut:
- Nama server atau alamat IP: Masukkan alamat IP agen Bindplane.
- Port server: Masukkan nomor port agen Bindplane (misalnya, 514).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi agen Bindplane Anda.
- Interval: Biarkan defaultnya 15. Jika Anda menyetel interval ke 0, appliance akan terus meneruskan syslog ke server target.
- TLS: Pilih Tidak.
Masukkan Ya untuk menyelesaikan dan menyimpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`data`	`additional.fields[0].value.string_value`	Tanggal dan waktu dari pesan log mentah, diekstrak menggunakan grok dan diformat sebagai "MM/DD/YY HH:MM:SS".
`data`	`metadata.description`	Bagian deskripsi pesan yang diekstrak menggunakan grok. Contoh: "(OdbcStatement::ExecDirect:962)::Error".
`data`	`metadata.product_event_type`	Jenis peristiwa produk yang diekstrak menggunakan grok. Contoh: "Error::83".
`data`	`principal.asset.hostname`	Nama host yang diekstrak dari pesan syslog menggunakan grok.
`data`	`principal.file.full_path`	Jalur file pem yang diekstrak dari data JSON dalam log.
`data`	`principal.hostname`	Nama host yang diekstrak dari pesan syslog menggunakan grok.
`data`	`security_result.detection_fields[0].key`	Kunci "SqlState" ditambahkan jika kolom `SqlState` ada dalam log mentah setelah penguraian grok.
`data`	`security_result.detection_fields[0].value`	Nilai SqlState diekstrak dari pesan log mentah menggunakan grok dan kv.
`data`	`security_result.detection_fields[1].key`	Kunci "NativeError" ditambahkan jika kolom `NativeError` ada dalam log mentah setelah parsing grok.
`data`	`security_result.detection_fields[1].value`	Nilai NativeError yang diekstrak dari pesan log mentah menggunakan grok dan kv.
`data`	`security_result.detection_fields[2].key`	Kunci "sev" ditambahkan jika kolom `sev` ada dalam log mentah setelah parsing grok.
`data`	`security_result.detection_fields[2].value`	Nilai `sev` yang diekstrak dari data JSON dalam log.
`data`	`security_result.severity`	Tetapkan ke "RENDAH" jika kolom `sev` (diekstrak dari JSON) adalah "normal".
`data`	`security_result.summary`	Pesan atau ringkasan error yang diekstrak dari pesan log mentah menggunakan grok. Kunci "date_time" di-hardcode di parser. Kunci "thread" ditambahkan jika kolom `thread` ada dalam log mentah setelah penguraian grok.
`data`	`additional.fields[1].value.string_value`	Nilai `thread` yang diekstrak dari data JSON dalam log. Kunci "m" ditambahkan jika kolom `m` ada dalam log mentah setelah parsing grok.
`data`	`additional.fields[2].value.string_value`	Nilai `m` yang diekstrak dari data JSON dalam log. Kunci "fn" ditambahkan jika kolom `fn` ada dalam log mentah setelah penguraian grok.
`data`	`additional.fields[3].value.string_value`	Nilai `fn` yang diekstrak dari data JSON dalam log.
`collection_time`	`metadata.event_timestamp`	Stempel waktu dari kolom `collection_time` dalam log mentah. Ditetapkan ke "STATUS_UPDATE" jika ada hostname utama, atau "GENERIC_EVENT". Dikodekan secara permanen ke "Veritas Netbackup". Dikodekan secara permanen ke "VERITAS NETBACKUP".
`collection_time`	`timestamp`	Stempel waktu dari kolom `collection_time` dalam log mentah.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.