Mengumpulkan log switch Aruba

Didukung di:

Parser ini mengekstrak kolom dari pesan syslog switch Aruba menggunakan pola grok dan memetakannya ke model UDM. Proses ini menangani berbagai kolom, termasuk stempel waktu, nama host, nama aplikasi, ID proses, ID peristiwa, dan deskripsi, serta mengisi kolom UDM yang relevan. Jenis peristiwa ditetapkan berdasarkan keberadaan informasi pokok.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda memiliki host Linux atau Windows 2016 atau yang lebih baru dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke switch Aruba.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka SIEM Settings > Collection Agents.
  3. Download File Autentikasi Penyerapan.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.

  2. Edit file config.yaml sebagai berikut:

      receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

  3. Mulai ulang Agen Bindplane untuk menerapkan perubahan:

    sudo systemctl restart bindplane

Mengonfigurasi Syslog di Switch Aruba

  1. Hubungkan ke switch Aruba melalui Konsol:

      ssh admin@<switch-ip>

  2. Hubungkan ke switch Aruba melalui Antarmuka Web:

    • Buka GUI web switch Aruba.
    • Lakukan autentikasi dengan kredensial administrator switch.

  3. Aktifkan Syslog menggunakan konfigurasi CLI:

    • Masuk ke mode konfigurasi global:

      configure terminal

    • Tentukan server syslog eksternal:

      logging <bindplane-ip>:<bindplane-port>

    • Ganti <bindplane-ip> dan <bindplane-port> dengan alamat agen Bindplane Anda.

  4. Opsional: Tetapkan tingkat keparahan logging:

      logging severity <level>

  5. Opsional: Tambahkan ID sumber log kustom (tag):

      logging facility local5

  6. Simpan konfigurasi:

      write memory

  7. Aktifkan Syslog menggunakan Konfigurasi Antarmuka Web:

    • Login ke antarmuka web switch Aruba.
    • Buka Sistem > Log > Syslog.
    • Tambahkan parameter server syslog:
    • Masukkan alamat Bindplane IP.
    • Masukkan Bindplane Port.
    • Tetapkan Tingkat Keparahan untuk mengontrol kejelasan log.
    • Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
app principal.application Nilai kolom app dari log mentah ditetapkan langsung ke principal.application.
description security_result.description Nilai kolom description dari log mentah ditetapkan langsung ke security_result.description.
event_id additional.fields.key String "event_id" ditetapkan ke additional.fields.key.
event_id additional.fields.value.string_value Nilai kolom event_id dari log mentah ditetapkan langsung ke additional.fields.value.string_value.
host principal.asset.hostname Nilai kolom host dari log mentah ditetapkan langsung ke principal.asset.hostname.
host principal.hostname Nilai kolom host dari log mentah ditetapkan langsung ke principal.hostname.
pid principal.process.pid Nilai kolom pid dari log mentah ditetapkan langsung ke principal.process.pid.
ts metadata.event_timestamp Nilai kolom ts dari log mentah dikonversi menjadi stempel waktu dan ditetapkan ke metadata.event_timestamp. Stempel waktu juga digunakan untuk kolom timestamp tingkat teratas di UDM. metadata.event_type disetel ke "STATUS_UPDATE" karena variabel principal_mid_present disetel ke "true" di parser saat kolom host ada di log mentah. String "ARUBA_SWITCH" ditetapkan ke metadata.product_name dalam parser. String "ARUBA SWITCH" ditetapkan ke metadata.vendor_name dalam parser. Parser mencoba mengekstrak dan mengurai agen pengguna dari log mentah menggunakan client.userAgent.rawUserAgent. Jika berhasil, agen pengguna yang diuraikan akan ditetapkan ke network.http.parsed_user_agent. Namun, karena log mentah yang diberikan tidak berisi kolom ini, kolom UDM ini kemungkinan akan kosong. Parser mencoba mengekstrak agen pengguna mentah dari log mentah menggunakan client.userAgent.rawUserAgent. Jika berhasil, agen pengguna mentah akan ditetapkan ke network.http.user_agent. Namun, karena log mentah yang diberikan tidak berisi kolom ini, kolom UDM ini kemungkinan akan kosong.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.