本頁面由 Cloud Translation API 翻譯而成。

收集 BMC Helix Discovery 記錄

支援的國家/地區：

Google SecOps SIEM

這個剖析器會使用 grok 模式，從 BMC Helix Discovery 系統記錄訊息中擷取欄位。主要著重於登入/登出事件和狀態更新。並將時間戳記、使用者名稱、來源 IP 和說明等擷取的欄位對應至 UDM。系統會根據擷取的 product_event_type 和記錄詳細資料，將事件分類。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您具備 BeyondTrust 執行個體的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

如要在 Windows 上安裝，請執行下列指令碼：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
如要在 Linux 上安裝，請執行下列指令碼：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取安裝 Bindplane 的電腦。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: BMC_HELIX_DISCOVERY
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

重新啟動 Bindplane 代理程式，以套用變更：
```
sudo systemctl restart bindplane
```

從 BMC Helix Discovery 匯出系統記錄

以 root 使用者身分存取 BMC Discovery 執行個體。
編輯 syslog 設定檔：etc/rsyslog.conf
在頂端新增下列項目：# Send everything to the remote syslog server。

將 IP 位址替換為 Syslog 伺服器的 IP 位址：

# Send everything to the remote syslog server

*.* @192.168.1.100

在設備上重新啟動系統記錄服務：

sudo /usr/bin/systemctl restart rsyslog.service

測試轉送設定。
使用記錄器公用程式傳送系統記錄檔訊息：
```
logger this is a test of remote logging
```

確認已記錄這項資訊：

su -
Password:

tail -n5 /var/log/messages
Jan 17 11:42:10 localhost seclab: this is a test of remote logging

登入 Google SecOps，確認顯示的訊息相同。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`data`	metadata.description	從記錄訊息中擷取的事件說明。
`data`	metadata.product_event_type	從記錄訊息中擷取的原始事件類型。
`data`	principal.ip	從記錄訊息的說明欄位擷取的來源 IP 位址。
`data`	security_result.summary	從記錄訊息中擷取的事件摘要。
`data`	target.user.userid	從記錄訊息擷取的使用者名稱。剖析器會建立空白物件。從原始記錄的頂層 `timestamp` 欄位複製。由剖析器根據 `product_event_type` 和 `desc` 欄位判斷。如果 `product_event_type` 為「logon」，或 `desc` 包含「logged on」，則設為「USER_LOGIN」。如果 `product_event_type` 為「logoff」，或 `desc` 包含「logged off」，則會設為「USER_LOGOUT」。否則，如果 `src_ip` 存在，則會設為「STATUS_UPDATE」。預設值為「GENERIC_EVENT」。硬式編碼為「BMC_HELIX_DISCOVERY」。硬式編碼為「BMC_HELIX_DISCOVERY」。硬式編碼為「BMC_HELIX_DISCOVERY」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。