BindPlane-Agent verwenden

Der BindPlane-Agent (auch als Erfassungs-Agent bezeichnet) ist ein Open-Source-Agent, der auf dem OpenTelemetry Collector basiert. Er erfasst Logs aus verschiedenen Quellen, einschließlich Microsoft Windows-Ereignisprotokollen, und sendet sie an Google SecOps.

Die observIQ BindPlane OP Management Console bietet eine umfassende und einheitliche Plattform für die Verwaltung Ihrer OpenTelemetry (OTel)-Collector-Bereitstellungen in Google SecOps und Google Cloud. observIQ bietet eine BindPlane Google-Version der Verwaltungskonsole. Weitere Informationen finden Sie unter observIQ-Lösungen. Die Verwaltungskonsole ist optional. Sie können den Agenten mit oder ohne Console verwenden. Weitere Informationen zur Konsole finden Sie unter BindPlane OP Management Console.

Das ist dieselbe Lösung, die von Cloud Logging für lokale Bereitstellungen verwendet wird.

Hinweise

Für die Installation des Agents benötigen Sie Folgendes:

• Authentifizierungsdatei für die Datenaufnahme in Google SecOps

  So laden Sie die Authentifizierungsdatei herunter:

  1. Öffnen Sie die Google SecOps Console.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungs-Agent.
  3. Laden Sie die Authentifizierungsdatei für die Datenaufnahme von Google SecOps herunter.

• Google SecOps-Kundennummer

  So findest du die Kundennummer:

  1. Öffnen Sie die Google SecOps Console.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren Sie die Kundennummer aus dem Bereich Organisationsdetails.

• Windows 2012 SP2 oder höher oder Linux-Host mit systemd

• Internetverbindung

• GitHub-Zugriff

Firewallkonfiguration prüfen

Für alle Firewalls oder authentifizierten Proxys zwischen dem Agenten und dem Internet sind Regeln erforderlich, um den Zugriff auf die folgenden Hosts zu ermöglichen:

BindPlane-OP-Verwaltungskonsole

Die BindPlane-Konsole für die Betriebsverwaltung bietet die folgenden Hauptfunktionen:

• Zentrale Verwaltung: Über die Console können Sie alle Ihre OTel-Datencollector-Bereitstellungen in Google Cloudverwalten. Sie können den Status jeder Bereitstellung aufrufen und gängige Verwaltungsaufgaben wie das Starten, Beenden und Neustarten von Collectors ausführen.
• Echtzeitüberwachung: Die Konsole bietet eine Echtzeitüberwachung Ihrer OTel-Datenerfassungs-Deployments. Sie können Messwerte wie CPU-Auslastung, Speicherauslastung und Durchsatz erfassen sowie Protokolle und Traces aufrufen, um Probleme zu beheben.
• Benachrichtigungen: In der Console können Sie Benachrichtigungen für wichtige Ereignisse einrichten, z. B. wenn ein Collector ausfällt oder ein Messwertgrenzwert überschritten wird.
• Konfigurationsverwaltung: Über die Console können Sie die Konfiguration Ihrer OTel-Empfänger zentral verwalten. Sie können Konfigurationsdateien bearbeiten, Umgebungsvariablen festlegen und Sicherheitsrichtlinien auf alle Bereitstellungen anwenden.
• Integration mit Google Cloud: Sie können OTel-Collector-Bereitstellungen in Google Cloud erstellen und verwalten und über die Console auf Ihre Google Cloud -Ressourcen zugreifen.

Es gibt zwei Möglichkeiten, die BindPlane-Konsole für die Betriebsverwaltung bereitzustellen:

• Herunterladen und auf einem Linux-Host installieren: Verfügbar als DEB-Paket, RPM-Paket oder Docker-Image.
• Über den Google Cloud Marketplace installieren und bereitstellen

Unterschied zwischen BindPlane (Google-Version) und BindPlane Enterprise (Google-Version)

Sie können entweder BindPlane (Google-Version) oder BindPlane Enterprise (Google-Version) verwenden. Alle Google SecOps-Kunden haben Zugriff auf BindPlane (Google-Version). Wenn Sie Google SecOps Enterprise Plus-Kunde sind, ist BindPlane Enterprise (Google Edition) inbegriffen. Wenn Sie kein Google SecOps Enterprise Plus-Kunde sind, wenden Sie sich an Ihr Google-Account-Team. Wenn Sie Ihren Lizenzschlüssel für BindPlane Enterprise (Google-Version) benötigen, senden Sie eine E-Mail an support@observIQ.com.

Die Unterschiede sind in der folgenden Tabelle aufgeführt.

BindPlane-Agent installieren

In diesem Abschnitt wird beschrieben, wie Sie den Agenten auf verschiedenen Hostbetriebssystemen installieren.

Windows

Führen Sie den folgenden PowerShell-Befehl aus, um den BindPlane-Agent unter Windows zu installieren.

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Alternativ können Sie das neueste Installationsprogramm für Windows herunterladen, um die Installation mit einem Installationsassistenten durchzuführen.

Öffnen Sie nach dem Herunterladen des Installationsprogramms den Installationsassistenten und folgen Sie der Anleitung, um den BindPlane-Agenten zu konfigurieren und zu installieren. Weitere Informationen zur Installation finden Sie unter Installation unter Windows.

Linux

Sie können den Agenten unter Linux mit einem Script installieren, das automatisch ermittelt, welches Paket installiert werden soll. Sie können dieses Script auch verwenden, um eine vorhandene Installation zu aktualisieren.

Führen Sie das folgende Script aus, um die Installation mit dem Installationsskript auszuführen:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Installation aus lokalem Paket

Wenn Sie den Agenten aus einem lokalen Paket installieren möchten, verwenden Sie -f mit dem Pfad zum Paket.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh -f path_to_package

RPM-Installation

Laden Sie das RPM-Paket für Ihre Architektur von der Release-Seite herunter und installieren Sie es mit rpm. Im folgenden Beispiel wird die Installation des amd64-Pakets veranschaulicht:

sudo rpm -U ./observiq-otel-collector_v${VERSION}_linux_amd64.rpm
sudo systemctl enable --now observiq-otel-collector

Ersetzen Sie VERSION durch die Version des heruntergeladenen Pakets.

DEB-Installation

Lade das DEB-Paket für deine Architektur von der Release-Seite herunter und installiere es mit dpkg. Im folgenden Beispiel wird die Installation des amd64-Pakets veranschaulicht:

sudo dpkg -i --force-overwrite ./observiq-otel-collector_v${VERSION}_linux_amd64.deb
sudo systemctl enable --now observiq-otel-collector

Ersetzen Sie VERSION durch die Version des heruntergeladenen Pakets.

Weitere Informationen finden Sie unter BindPlane-Agent installieren.

Agent konfigurieren

Sie können den Agenten entweder manuell oder über die BindPlane OP Management Console konfigurieren. Wenn Sie den Agenten manuell konfigurieren, müssen Sie die Exportparameter aktualisieren, damit der Agent bei Google SecOps authentifiziert wird.

Nach der Installation des Agents wird der observiq-otel-collector-Dienst ausgeführt und kann konfiguriert werden. Der Agent protokolliert standardmäßig in C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log.

Das Standardfehlerprotokoll für den Agentenprozess finden Sie unter C:\Program Files\observIQ OpenTelemetry Collector\log\observiq_collector.err.

Standardmäßig befindet sich die Agentkonfigurationsdatei unter C:\Program Files\observIQ OpenTelemetry Collector\config.yaml. Wenn Sie die Konfiguration ändern, müssen Sie den Agentdienst neu starten, damit die Konfigurationsänderungen wirksam werden.

Eine Beispielkonfigurationsdatei und ein Authentifizierungstoken, die vom Agenten verwendet werden, können Sie in der Google SecOps Console unter SIEM-Einstellungen > Erfassungs-Agent herunterladen.

Passen Sie die folgenden beiden Abschnitte in der Konfigurationsdatei an:

• Empfänger: Gibt an, welche Protokolle der Agent erfassen und an Google SecOps senden soll.
• Exporter: Gibt das Ziel an, an das der Agent die Protokolle sendet. Folgende Exporteure werden unterstützt:
  • Google SecOps-Exporteur: Sendet Protokolle direkt an die Google SecOps-Aufnahme-API
  • Google SecOps-Weiterleiter-Export: Sendet Protokolle an den Google SecOps-Weiterleiter
  • Cloud Logging-Export: Logs werden an Cloud Logging gesendet.

Passen Sie im Exporter Folgendes an:

• customer_id: Google SecOps-Kundennummer
• endpoint: Regionaler Endpunkt von Google SecOps

• creds: Authentifizierungs-Token

  Alternativ können Sie creds_file_path verwenden, um direkt auf die Anmeldedatendatei zu verweisen. In der Windows-Konfiguration muss der Pfad mit Backslashes escapiert werden.

• log_type: Logtyp

• ingestion_labels: Optionale Datenaufnahmelabels

• namespace: Optionaler Namespace

  Für jeden Protokolltyp müssen Sie einen Exporteur konfigurieren.

Architektur

Für die Agentarchitektur sind die folgenden Optionen verfügbar.

Option 1: Der Erfassungs-Agent sendet Protokolle an den Google SecOps-Weiterleiter

Der Google SecOps-Weiterleiter empfängt mehrere syslog-Streams. Jede syslog-Datenquelle wird durch den auf dem Google SecOps-Weiterleiter konfigurierten Listenerport unterschieden. Der Weiterleiter stellt eine verschlüsselte GRPC-Verbindung zu Ihrer Google SecOps-Instanz her, um die erfassten Protokolle zu senden.

Hinweis: Mit der Weiterleitungsoption können Protokolle zusammengefasst werden, bevor sie an Google SecOps gesendet werden.

Option 2: Der Erfassungs-Agent sendet Protokolle direkt an die Google SecOps-Aufnahme-API

Option 3: Der Erfassungs-Agent sendet Protokolle direkt an Cloud Logging

Option 4: Der Erfassungs-Agent sendet Protokolle an mehrere Ziele

Skalierbarkeit

Agent-Erfassungstools verbrauchen in der Regel nur minimale Ressourcen. Wenn Sie jedoch große Mengen an Telemetriedaten (Logs oder Traces) auf einem System verarbeiten, sollten Sie den Ressourcenverbrauch im Auge behalten, um Auswirkungen auf andere Dienste zu vermeiden. Weitere Informationen finden Sie unter Agent-Größe und -Skalierung.

Support

Bei Problemen mit dem Collector-Agenten wenden Sie sich an den Google Cloud -Support.

Bei Problemen mit der BindPlane-OP-Verwaltung wenden Sie sich an den ObservIQ-Support.

Weitere Konfigurationsbeispiele für die Protokollerhebung

In den folgenden Abschnitten finden Sie Beispiele für zusätzliche Konfigurationen für die Protokollerhebung.

Windows-Ereignisse und Sysmon-Ereignisse direkt an Google SecOps senden

Konfigurieren Sie die folgenden Parameter im Beispiel:

• chronicleexporter

  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
  windowseventlog/sysmon:
    channel: Microsoft-Windows-Sysmon/Operational
    raw: true
  windowseventlog/security:
    channel: security
    raw: true
  windowseventlog/application:
    channel: application
    raw: true
  windowseventlog/system:
    channel: system
    raw: true

processors:
  batch:

exporters:
  chronicle/sysmon:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: '{
  "type": "service_account",
  "project_id": "malachite-projectname",
  "private_key_id": "abcdefghijklmnopqrstuvwxyz123456789",
  "private_key": "-----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
  "client_email": "account@malachite-projectname.iam.gserviceaccount.com",
  "client_id": "123456789123456789",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/account%40malachite-projectname.iam.gserviceaccount.com",
  "universe_domain": "googleapis.com"
}' 
    log_type: 'WINDOWS_SYSMON'
    override_log_type: false
    raw_log_field: body
    customer_id: 'dddddddd-dddd-dddd-dddd-dddddddddddd'
  chronicle/winevtlog:
    endpoint: malachiteingestion-pa.googleapis.com
    creds: '{
  "type": "service_account",
  "project_id": "malachite-projectname",
  "private_key_id": "abcdefghijklmnopqrstuvwxyz123456789",
  "private_key": "-----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
  "client_email": "account@malachite-projectname.iam.gserviceaccount.com",
  "client_id": "123456789123456789",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/account%40malachite-projectname.iam.gserviceaccount.com",
  "universe_domain": "googleapis.com"
}'
    log_type: 'WINEVTLOG'
    override_log_type: false
    raw_log_field: body
    customer_id: 'dddddddd-dddd-dddd-dddd-dddddddddddd'

service:
  pipelines:
    logs/sysmon:
      receivers: [windowseventlog/sysmon]
      processors: [batch]
      exporters: [chronicle/sysmon]
    logs/winevtlog:
      receivers: 
        - windowseventlog/security
        - windowseventlog/application
        - windowseventlog/system
      processors: [batch]
      exporters: [chronicle/winevtlog]

Windows-Ereignisse und Syslog-Protokolle direkt an Google SecOps senden

Konfigurieren Sie die folgenden Parameter im Beispiel:

• windowseventlogreceiver
• tcplogreceiver
  • listen_address
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
    tcplog:
      listen_address: "0.0.0.0:54525"
    windowseventlog/source0__application:
        attributes:
            log_type: windows_event.application
        channel: application
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__security:
        attributes:
            log_type: windows_event.security
        channel: security
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__system:
        attributes:
            log_type: windows_event.system
        channel: system
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds: '{ json blob for creds }'
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
            env: dev
        log_type: <applicable_log_type>
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/source0__system
                - windowseventlog/source0__application
                - windowseventlog/source0__security
            exporters:
                - chronicle/chronicle_w_labels
        logs/source1__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Windows-Ereignisse und Syslog an den Google SecOps-Weiterleiter senden

Konfigurieren Sie die folgenden Parameter im Beispiel:

• windowseventlogreceiver
• tcplogreceiver
  • listen_address
• chronicleforwarder
  • endpoint

Beispielkonfiguration:

receivers:
tcplog:
    listen_address: "0.0.0.0:54525"
    windowseventlog/source0__application:
        attributes:
            log_type: windows_event.application
        channel: application
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__security:
        attributes:
            log_type: windows_event.security
        channel: security
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
    windowseventlog/source0__system:
        attributes:
            log_type: windows_event.system
        channel: system
        max_reads: 100
        poll_interval: 1s
        raw: true
        start_at: end
exporters:
    chronicleforwarder/forwarder:
        export_type: syslog
        raw_log_field: body
        syslog:
            endpoint: 127.0.0.1:10514
            transport: udp
service:
    pipelines:
        logs/source0__forwarder-0:
            receivers:
                - windowseventlog/source0__system
                - windowseventlog/source0__application
                - windowseventlog/source0__security
            exporters:
                - chronicleforwarder/forwarder
        logs/source1__forwarder-0:
            receivers:
                - tcplog
            exporters:
                - chronicleforwarder/forwarder

Syslog-Protokolle direkt an Google SecOps senden

Konfigurieren Sie die folgenden Parameter im Beispiel:

• tcplogreceiver
  • listen_address
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • Creds

Beispielkonfiguration:

receivers:
  tcplog:
    listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds: '{ json blob for creds }'
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
            env: dev
        log_type: <applicable_log_type>
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Windows-Ereignisse per Remote-Zugriff erfassen und direkt an Google SecOps senden

Konfigurieren Sie die folgenden Parameter im Beispiel:

• windowseventlogreceiver
  • username
  • password
  • server
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
    windowseventlog/system:
        channel: system
        max_reads: 100
        start_at: end
        poll_interval: 10s
        raw: true
        remote:
            username: "username"
            password: "password"
            server: "remote-server"
    windowseventlog/application:
        channel: application
        max_reads: 100
        start_at: end
        poll_interval: 10s
        raw: true
        remote:
            username: "username"
            password: "password"
            server: "server-ip"
    windowseventlog/security:
        channel: security
        max_reads: 100
        start_at: end
        poll_interval: 10s
        raw: true
        remote:
            username: "username"
            password: "password"
            server: "server-ip"
exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds: '{ json blob for creds }'
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        ingestion_labels:
            env: dev
        log_type: WINEVTLOG
        namespace: testNamespace
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - windowseventlog/system
                - windowseventlog/application
                - windowseventlog/security
            exporters:
                - chronicle/chronicle_w_labels

Daten an Cloud Logging senden

Konfigurieren Sie den Parameter credentials_file im Beispiel.

Beispielkonfiguration:

exporters:
  googlecloud:
    credentials_file: /opt/observiq-otel-collector/credentials.json

SQL-Datenbank abfragen und Ergebnisse an Google SecOps senden

Konfigurieren Sie die folgenden Parameter im Beispiel:

• sqlqueryreceiver
• chronicleexporter
  • namespace
  • ingestion_labels
  • log_type
  • customer_id
  • creds

Beispielkonfiguration:

receivers:
  sqlquery/source0:
    datasource: host=localhost port=5432 user=postgres password=s3cr3t sslmode=disable
    driver: postgres
    queries:
      - logs:
          - body_column: log_body
        sql: select * from my_logs where log_id > $$1
        tracking_column: log_id
        tracking_start_value: "10000"
processors:
  transform/source0_processor0__logs:
    error_mode: ignore
    log_statements:
      - context: log
        statements:
          - set(attributes["chronicle_log_type"], "POSTGRESQL") where true
exporters:
  chronicle/chronicle_sql:
    compression: gzip
    creds: '{
  "type": "service_account",
  "project_id": "malachite-projectname",
  "private_key_id": "abcdefghijklmnopqrstuvwxyz123456789",
  "private_key": "-----BEGIN PRIVATE KEY-----abcdefg-----END PRIVATE KEY-----\n",
  "client_email": "account@malachite-projectname.iam.gserviceaccount.com",
  "client_id": "123456789123456789",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/account%40malachite-projectname.iam.gserviceaccount.com",
  "universe_domain": "googleapis.com"
}' 
    customer_id: customer_id
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: POSTGRESQL
    namespace: null
    raw_log_field: body
    retry_on_failure:
      enabled: false
    sending_queue:
      enabled: false
service:
  pipelines:
    logs/source0_chronicle_sql-0:
      receivers:
        - sqlquery/source0
      processors:
        - transform/source0_processor0__logs
      exporters:
        - chronicle/chronicle_sql

Protokolle löschen, die mit einem regulären Ausdruck übereinstimmen

Sie können den Protokoller erfassten Logs so konfigurieren, dass Logs, die mit einem regulären Ausdruck übereinstimmen, gelöscht werden. Das ist nützlich, um unerwünschte Protokolle wie bekannte Fehler oder Debugging-Nachrichten herausfiltern zu können.

Wenn Sie Protokolle entfernen möchten, die mit einem regulären Ausdruck übereinstimmen, fügen Sie Ihrer Konfiguration einen Prozessor vom Typ filter/drop-matching-logs-to-Chronicle hinzu. Bei diesem Prozessor wird der Log-Text mithilfe der Funktion IsMatch anhand des regulären Ausdrucks ausgewertet. Wenn die Funktion true zurückgibt, wird das Protokoll verworfen.

In der folgenden Beispielkonfiguration werden Protokolle gelöscht, die im Protokollkörper die Strings <EventID>10</EventID> oder <EventID>4799</EventID> enthalten.

Sie können den regulären Ausdruck an jedes gewünschte Muster anpassen. Bei der Funktion IsMatch wird die Syntax für reguläre Ausdrücke von RE2 verwendet.

Beispielkonfiguration:

processors:
    filter/drop-matching-logs-to-Chronicle:
        error_mode: ignore
        logs:
            log_record:
                - (IsMatch(body, "<EventID>10</EventID>")) or (IsMatch(body, "<EventID>4799</EventID>"))

Im folgenden Beispiel wird der Prozessor der Pipeline in derselben Konfiguration hinzugefügt:

service:
  pipelines:
    logs/winevtlog:
      receivers: 
        - windowseventlog/security
        - windowseventlog/application
        - windowseventlog/system
      processors: 
      - filter/drop-matching-logs-to-Chronicle # Add this line
      - batch
      exporters: [chronicle/winevtlog]

Referenzdokumentation

Weitere Informationen zu observIQ finden Sie unter:

• observIQ-Lösungen
• BindPlane OP Quickstart Guide
• Logs an Cloud Logging senden.
• Nach Bedingungsauslöser filtern
• Für BindPlane-Betrieb verfügbare Quellen