Diese Seite wurde von der Cloud Translation API übersetzt.

Arista-Switch-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Felder aus Arista-Switch-Protokollen und verarbeitet sowohl JSON- als auch Syslog-Formate. Es werden Grok-Muster verwendet, um verschiedene Arten von Protokollnachrichten zu parsen, extrahierte Felder der UDM zuzuordnen und Ereignisse mit Metadaten wie Ereignistyp, Schweregrad und Informationen zu Prinzipal/Ziel auf Grundlage der extrahierten Details anzureichern.

Hinweise

Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Arista EOS 4.23.x oder höher ist installiert und zugänglich.
Prüfen Sie, ob Sie privilegierten Zugriff auf den Arista EOS-Switch haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Greifen Sie auf die Konfigurationsdatei zu:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARISTA_SWITCH
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog auf einem Arista-Switch konfigurieren

Melden Sie sich am Arista-Switch an.
Rufen Sie den Konfigurationsmodus auf:
```
Arista# config terminal
```

Konfigurieren Sie den Switch so, dass Logs an den Bindplane-Agent gesendet werden.

Arista(config)# logging host <bindplane-server-ip> <port-number> protocol [tcp/udp]
Arista(config)# logging trap information
Arista(config)# copy running-config startup-config

* Replace `<bindplane-server-ip>` with Bindplane agent IP address and `<port-number>` with the port configured to listen.

Geben Sie zusätzliche Konfigurationen für die Protokolle der Befehlsausführung ein:

Arista (config)# aaa accounting commands all console start-stop logging
Arista (config)# aaa accounting commands all default start-stop logging
Arista (config)# aaa accounting exec console start-stop logging
Arista (config)# aaa accounting exec default start-stop logging
Arista (config)# copy running-config startup-config

Geben Sie zusätzliche Konfigurationen für Anmeldelogs ein:

Arista (config)# aaa authentication policy on-success log
Arista (config)# aaa authentication policy on-failure log
Arista (config)# copy running-config startup-config

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`appname`	`target.application`	Direkt aus dem Feld `appname` zugeordnet.
`description`	`metadata.description`	Direkt aus dem Feld `description` zugeordnet, das aus dem Feld `message` mit Grok-Mustern basierend auf dem `product_event_type` extrahiert wird.
`dst_ip`	`target.ip`, `target.asset.ip`	Direkt aus dem Feld `dst_ip` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`dst_mac`	`target.mac`	Direkt aus dem Feld `dst_mac` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`dst_port`	`target.port`	Direkt aus dem Feld `dst_port` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`facility`	`additional.fields[facility].string_value`	Direkt aus dem Feld `facility` zugeordnet.
`hostname`	`principal.hostname`, `principal.asset.hostname`	Direkt aus dem Feld `hostname` zugeordnet.
`inner_msg`	`metadata.description`	Direkt aus dem Feld `inner_msg` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`ip_protocol`	`network.ip_protocol`	Direkt aus dem Feld `ip_protocol` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird. Wenn der Wert „tcp“ ist, wird er in „TCP“ konvertiert. Wenn der Ereignistyp „NO_IGMP_QUERIER“ ist, wird er auf „IGMP“ festgelegt.
`pid`	`principal.process.pid`	Direkt aus dem Feld `pid` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`prin_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `prin_ip` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`product_event_type`	`metadata.product_event_type`	Direkt aus dem Feld `product_event_type` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`proto`	`network.application_protocol`	Wenn das Feld `proto` „sshd“ ist, wird das UDM-Feld auf „SSH“ gesetzt.
`severity`	`security_result.severity`, `security_result.severity_details`	`security_result.severity` wird aus dem Feld `severity` anhand der folgenden Zuordnungen abgeleitet: „DEFAULT“, „DEBUG“, „INFO“, „NOTICE“ –> „INFORMATIONAL“; „WARNING“, „ERROR“, „ERR“, „WARN“ –> „MEDIUM“; „CRITICAL“, „ALERT“, „EMERGENCY“ –> „HIGH“. Der Rohwert von `severity` wird `security_result.severity_details` zugeordnet.
`session_id`	`network.session_id`	Direkt aus dem Feld `session_id` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`source_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `source_ip` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`source_port`	`principal.port`	Direkt aus dem Feld `source_port` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`src_ip`	`principal.ip`, `principal.asset.ip`	Direkt aus dem Feld `src_ip` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`table_name`	`target.resource.name`	Direkt aus dem Feld `table_name` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird. Wenn dieses Feld ausgefüllt ist, wird `target.resource.resource_type` auf „TABLE“ gesetzt.
`target_host`	`target.hostname`, `target.asset.hostname`	Direkt aus dem Feld `target_host` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`target_ip`	`target.ip`, `target.asset.ip`	Direkt aus dem Feld `target_ip` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`target_package`	`target.process.command_line`	Direkt aus dem Feld `target_package` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`target_port`	`target.port`	Direkt aus dem Feld `target_port` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`timestamp`	`metadata.event_timestamp`	Direkt aus dem Feld `timestamp` zugeordnet, nachdem es in ein Zeitstempelobjekt geparst wurde.
`user`	`principal.user.userid`	Direkt aus dem Feld `user` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`user_name`	`target.user.userid`	Direkt aus dem Feld `user_name` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird.
`vrf`	`additional.fields[vrf].string_value`	Direkt aus dem Feld `vrf` zugeordnet, das mit Grok-Mustern aus dem Feld `message` extrahiert wird. Abgeleitet aus einer Kombination der Felder `has_principal`, `has_target`, `user`, `message`, `product_event_type` und `description` mithilfe einer komplexen bedingten Logik, wie im Parsercode beschrieben. Der Standardwert ist „GENERIC_EVENT“. Fest codiert auf „ARISTA_SWITCH“. Fest codiert auf „Arista Switch“. Fest codiert auf „Arista“. Auf „BLOCK“ festgelegt, wenn das Feld `description` „connection rejected“ (Verbindung abgelehnt) enthält.
`dpid`	`additional.fields[DPID].string_value`	Direkt aus dem Feld `dpid` zugeordnet.
`intf`	`additional.fields[intf].string_value`	Direkt aus dem Feld `intf` zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten