Arista-Switch-Protokolle erfassen

Dieser Parser extrahiert Felder aus Arista-Switch-Protokollen und unterstützt sowohl JSON- als auch syslog-Formate. Dabei werden Grok-Muster verwendet, um verschiedene Protokollnachrichtentypen zu parsen, extrahierte Felder dem UDM zuzuordnen und Ereignisse anhand der extrahierten Details mit Metadaten wie Ereignistyp, Schweregrad und Informationen zum Haupt-/Zielobjekt anzureichern.

Hinweise

• Sie benötigen eine Google SecOps-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Arista EOS 4.23.x und höher muss installiert und zugänglich sein.
• Sie benötigen erhöhte Zugriffsrechte auf den Arista EOS-Switch.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

Bindplane-Agent installieren

Windows-Installation

1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Weitere Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

1. Rufen Sie die Konfigurationsdatei auf:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: ARISTA_SWITCH
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Syslog in einem Arista-Switch konfigurieren

1. Melden Sie sich am Arista-Switch an.

2. Rufen Sie den Modus Konfiguration auf:

   Arista# config terminal
   

3. Geben Sie dem Switch die folgende Konfiguration, um Protokolle an den Bindplane-Agenten zu senden.

   Arista(config)# logging host <bindplane-server-ip> <port-number> protocol [tcp/udp]
   Arista(config)# logging trap information
   Arista(config)# copy running-config startup-config
   

   * Replace `<bindplane-server-ip>` with Bindplane agent IP address and `<port-number>` with the port configured to listen.
   

4. Geben Sie eine zusätzliche Konfiguration für die Protokolle zur Befehlsausführung ein:

   Arista (config)# aaa accounting commands all console start-stop logging
   Arista (config)# aaa accounting commands all default start-stop logging
   Arista (config)# aaa accounting exec console start-stop logging
   Arista (config)# aaa accounting exec default start-stop logging
   Arista (config)# copy running-config startup-config
   

5. Geben Sie eine zusätzliche Konfiguration für Anmeldeprotokolle ein:

   Arista (config)# aaa authentication policy on-success log
   Arista (config)# aaa authentication policy on-failure log
   Arista (config)# copy running-config startup-config
   

UDM-Zuordnungstabelle

Änderungen

2024-06-07

Optimierung:

• Es wurde ein Grok-Muster hinzugefügt, um das neue Muster von SYSLOG-Format-Protokollen zu parsen.
• „principal_mac“ wurde in „principal.mac“ geändert.
• „principal_port“ wurde in „principal.port“ geändert.

2024-03-17

Optimierung:

• Es wurde ein Grok-Muster zum Parsen von SYSLOG-Format-Protokollen hinzugefügt.
• „user“ wurde „principal.user.userid“ zugeordnet.
• „proto“ wurde in „network.application_protocol“ geändert.
• „prin_ip“ wurde auf „principal.ip“ zugeordnet.

2022-08-03

• Neu erstellter Parser.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten