Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log dello switch Arista

Supportato in:

Google secops SIEM

Questo parser estrae i campi dai log degli switch Arista, gestendo i formati JSON e syslog. Utilizza pattern grok per analizzare vari tipi di messaggi di log, mappando i campi estratti all'UDM e arricchendo gli eventi con metadati come tipo di evento, gravità e informazioni su principal/target in base ai dettagli estratti.

Prima di iniziare

Assicurati di avere un'istanza Google SecOps.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Installato e accessibile Arista EOS 4.23.x e versioni successive.
Assicurati di disporre dell'accesso con privilegi sullo switch Arista EOS.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: ARISTA_SWITCH
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurazione di Syslog nello switch Arista

Accedi allo switch Arista.
Vai alla modalità configurazione:
```
Arista# config terminal
```

Fornisci allo switch la seguente configurazione per inviare i log all'agente Bindplane.

Arista(config)# logging host <bindplane-server-ip> <port-number> protocol [tcp/udp]
Arista(config)# logging trap information
Arista(config)# copy running-config startup-config

* Replace `<bindplane-server-ip>` with Bindplane agent IP address and `<port-number>` with the port configured to listen.

Inserisci la configurazione aggiuntiva per i log di esecuzione dei comandi:

Arista (config)# aaa accounting commands all console start-stop logging
Arista (config)# aaa accounting commands all default start-stop logging
Arista (config)# aaa accounting exec console start-stop logging
Arista (config)# aaa accounting exec default start-stop logging
Arista (config)# copy running-config startup-config

Inserisci la configurazione aggiuntiva per i log di accesso:

Arista (config)# aaa authentication policy on-success log
Arista (config)# aaa authentication policy on-failure log
Arista (config)# copy running-config startup-config

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`appname`	`target.application`	Mappato direttamente dal campo `appname`.
`description`	`metadata.description`	Mappato direttamente dal campo `description`, che viene estratto dal campo `message` utilizzando pattern grok basati su `product_event_type`.
`dst_ip`	`target.ip`, `target.asset.ip`	Mappato direttamente dal campo `dst_ip`, che viene estratto dal campo `message` utilizzando i pattern grok.
`dst_mac`	`target.mac`	Mappato direttamente dal campo `dst_mac`, che viene estratto dal campo `message` utilizzando i pattern grok.
`dst_port`	`target.port`	Mappato direttamente dal campo `dst_port`, che viene estratto dal campo `message` utilizzando i pattern grok.
`facility`	`additional.fields[facility].string_value`	Mappato direttamente dal campo `facility`.
`hostname`	`principal.hostname`, `principal.asset.hostname`	Mappato direttamente dal campo `hostname`.
`inner_msg`	`metadata.description`	Mappato direttamente dal campo `inner_msg`, che viene estratto dal campo `message` utilizzando i pattern grok.
`ip_protocol`	`network.ip_protocol`	Mappato direttamente dal campo `ip_protocol`, che viene estratto dal campo `message` utilizzando i pattern grok. Se il valore è "tcp", viene convertito in "TCP". Se il tipo di evento è "NO_IGMP_QUERIER", è impostato su "IGMP".
`pid`	`principal.process.pid`	Mappato direttamente dal campo `pid`, che viene estratto dal campo `message` utilizzando i pattern grok.
`prin_ip`	`principal.ip`, `principal.asset.ip`	Mappato direttamente dal campo `prin_ip`, che viene estratto dal campo `message` utilizzando i pattern grok.
`product_event_type`	`metadata.product_event_type`	Mappato direttamente dal campo `product_event_type`, che viene estratto dal campo `message` utilizzando i pattern grok.
`proto`	`network.application_protocol`	Se il campo `proto` è "sshd", il campo UDM è impostato su "SSH".
`severity`	`security_result.severity`, `security_result.severity_details`	`security_result.severity` deriva dal campo `severity` in base a questi mapping: "DEFAULT", "DEBUG", "INFO", "NOTICE" -> "INFORMATIONAL"; "WARNING", "ERROR", "ERR", "WARN" -> "MEDIUM"; "CRITICAL", "ALERT", "EMERGENCY" -> "HIGH". Il valore non elaborato di `severity` è mappato a `security_result.severity_details`.
`session_id`	`network.session_id`	Mappato direttamente dal campo `session_id`, che viene estratto dal campo `message` utilizzando i pattern grok.
`source_ip`	`principal.ip`, `principal.asset.ip`	Mappato direttamente dal campo `source_ip`, che viene estratto dal campo `message` utilizzando i pattern grok.
`source_port`	`principal.port`	Mappato direttamente dal campo `source_port`, che viene estratto dal campo `message` utilizzando i pattern grok.
`src_ip`	`principal.ip`, `principal.asset.ip`	Mappato direttamente dal campo `src_ip`, che viene estratto dal campo `message` utilizzando i pattern grok.
`table_name`	`target.resource.name`	Mappato direttamente dal campo `table_name`, che viene estratto dal campo `message` utilizzando i pattern grok. Se questo campo è compilato, `target.resource.resource_type` è impostato su "TABLE".
`target_host`	`target.hostname`, `target.asset.hostname`	Mappato direttamente dal campo `target_host`, che viene estratto dal campo `message` utilizzando i pattern grok.
`target_ip`	`target.ip`, `target.asset.ip`	Mappato direttamente dal campo `target_ip`, che viene estratto dal campo `message` utilizzando i pattern grok.
`target_package`	`target.process.command_line`	Mappato direttamente dal campo `target_package`, che viene estratto dal campo `message` utilizzando i pattern grok.
`target_port`	`target.port`	Mappato direttamente dal campo `target_port`, che viene estratto dal campo `message` utilizzando i pattern grok.
`timestamp`	`metadata.event_timestamp`	Mappato direttamente dal campo `timestamp` dopo essere stato analizzato in un oggetto timestamp.
`user`	`principal.user.userid`	Mappato direttamente dal campo `user`, che viene estratto dal campo `message` utilizzando i pattern grok.
`user_name`	`target.user.userid`	Mappato direttamente dal campo `user_name`, che viene estratto dal campo `message` utilizzando i pattern grok.
`vrf`	`additional.fields[vrf].string_value`	Mappato direttamente dal campo `vrf`, che viene estratto dal campo `message` utilizzando i pattern grok. Derivato da una combinazione di campi `has_principal`, `has_target`, `user`, `message`, `product_event_type` e `description` utilizzando una logica condizionale complessa, come descritto nel codice del parser. Il valore predefinito è "GENERIC_EVENT". Codificato su "ARISTA_SWITCH". Codificato in modo permanente su "Arista Switch". Codificato in modo permanente su "Arista". Imposta "BLOCK" se il campo `description` contiene "connection rejected".
`dpid`	`additional.fields[DPID].string_value`	Mappato direttamente dal campo `dpid`.
`intf`	`additional.fields[intf].string_value`	Mappato direttamente dal campo `intf`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.