此页面由 Cloud Translation API 翻译。

收集 Brocade 交换机日志

支持的语言：

Google SecOps SIEM

此解析器使用与各种日志格式匹配的 grok 模式从 Brocade 交换机日志中提取字段。然后，它会将这些提取的字段映射到 UDM 字段，处理不同的日志结构，并使用供应商和产品信息等元数据来丰富数据。在生成最终 UDM 输出之前，解析器还会执行数据转换，例如转换严重程度和处理重复消息。

准备工作

确保您拥有 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者使用带有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。
确保您拥有对 Brocade 交换机的 CLI 管理员访问权限。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

对于 Windows 安装，请运行以下脚本：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
对于 Linux 安装，请运行以下脚本：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问安装了 Bindplane 的机器。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Brocade_Switch
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

重启 Bindplane 代理以应用更改：
```
sudo systemctl restart bindplane
```

配置从 Brocade 交换机导出 Syslog

使用 SSH 或 Telnet 以及相应的凭据连接到 Brocade 交换机。
运行以下命令，指定 syslog 服务器 (Bindplane) 的 IP 地址或主机名以及端口：
```
syslogadmin --set -ip <IP> -port <Port>
```
例如：
```
syslogadmin --set -ip 10.10.10.10 -port 54525
```
运行以下命令以显示已配置的 syslog 服务器：
```
syslogadmin --show -ip
```

UDM 映射表

日志字段	UDM 映射	逻辑
`application`	`additional.fields[].key`: "application" `additional.fields[].value.string_value`:	如果存在 KV_DATA 字段，则从原始日志中的 `application@1588` 字段提取的值。
`class`	`additional.fields[].key`：“class” `additional.fields[].value.string_value`：	如果存在 KV_DATA 字段，则从原始日志中的 `class@1588` 字段提取的值。
`domain`	`principal.administrative_domain`	从与 `domain` 字段匹配的 Grok 模式中提取的值。
`Event`	`additional.fields[].key`: "event_category" `additional.fields[].value.string_value`:	如果存在 KV_DATA 字段，则从原始日志中的 `arg0@1588` 字段提取的值。
`event_id`	`metadata.product_log_id`	从与 `event_id` 字段匹配的 Grok 模式中提取的值。
`event_type`	`metadata.product_event_type`	从与 `event_type` 字段匹配的 Grok 模式中提取的值。
`flags`	`additional.fields[].key`：“flags” `additional.fields[].value.string_value`：	从与 `flags` 字段匹配的 Grok 模式中提取的值。
`Info`	`metadata.description`	从 `Info` 字段中提取的值，使用 grok 进行解析。
`interface`	`app_protocol_src`	如果存在 KV_DATA 字段，则从原始日志中的 `interface@1588` 字段提取的值。用于派生 `network.application_protocol`。
`ip`	`principal.ip`	从 `ip` 字段中提取的值，使用 grok 进行解析。如果与从 `Info` 字段提取的 IP 不同，则合并到 `principal.ip` 中。
`Info`，`IP Addr`	`principal.ip`	从 `Info` 字段内的 `IP Addr` 字段提取的值，使用 grok 进行解析。
`log`	`additional.fields[].key`：“log” `additional.fields[].value.string_value`：	如果存在 KV_DATA 字段，则从原始日志中的 `log@1588` 字段提取的值。
`msg`	`metadata.description`	从 `msg` 字段中提取的值，使用 grok 进行解析。
`msgid`	`additional.fields[].key`: "msgid" `additional.fields[].value.string_value`:	如果存在 KV_DATA 字段，则从原始日志中的 `msgid@1588` 字段提取的值。
`prin_host`	`principal.hostname` `principal.asset.hostname`	从与 `prin_host` 字段匹配的 Grok 模式中提取的值。
`product_version`	`metadata.product_version`	从与 `product_version` 字段匹配的 Grok 模式中提取的值。
`repeat_count`	`additional.fields[].key`：“repeat_count” `additional.fields[].value.string_value`：	从 `msg` 字段中提取的值，使用 grok 进行解析。
`role`，`user_role`	`principal.user.attribute.roles[].name`	从 `role@1588` 或 `user_role` 字段中提取的值。如果值为“admin”，则替换为“Admin”。
`sequence_number`	`additional.fields[].key`: "sequence_number" `additional.fields[].value.string_value`:	从与 `sequence_number` 字段匹配的 Grok 模式中提取的值。
`severity`	`security_result.severity`	从 `severity` 字段中提取的值，使用 grok 进行解析。映射到 UDM 严重程度值（INFORMATIONAL、ERROR、CRITICAL、MEDIUM）。
`Status`	`security_result.summary`	从 `Status` 字段提取的值。
`switch_name`	`additional.fields[].key`: "switch_name" `additional.fields[].value.string_value`:	从与 `switch_name` 字段匹配的 Grok 模式中提取的值。
`target_application`	`target.application`	从与 `target_application` 字段匹配的 Grok 模式中提取的值。
`time`	`additional.fields[].key`：“time” `additional.fields[].value.string_value`：	从 `kv_data3` 字段中的 `time` 字段提取的值。
`timestamp`	`metadata.event_timestamp.seconds`	从 `timestamp` 字段提取的值，使用日期过滤条件进行解析。
`user`	`principal.user.userid` `principal.user.user_display_name`	从 `user` 或 `user@1588` 字段提取的值，使用 grok 进行解析。从 `principal.hostname` 复制的联系人。从 `principal.ip` 复制的联系人。从 `metadata.product_event_type` 复制或根据条件设置为“STATUS_UPDATE”。从日志的 `create_time.nanos` 中复制。由解析器逻辑根据 `has_principal`、`has_target`、`has_userid` 和 `event_type` 的值确定。可以是“SYSTEM_AUDIT_LOG_UNCATEGORIZED”“STATUS_UPDATE”或“GENERIC_EVENT”。硬编码为“BROCADE_SWITCH”。硬编码为“BROCADE”。硬编码为“BROCADE_SWITCH”。派生自 `interface` 字段，如果 `interface` 字段包含“SSH”，则设置为“SSH”。