このページは Cloud Translation API によって翻訳されました。

Cisco Wireless LAN Controller（WLC）のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Cisco Wireless LAN Controller（WLC）ログを Google Security Operations に取り込む方法について説明します。パーサーは、JSON 形式と書式なしテキスト形式の両方を処理して、syslog メッセージからフィールドを抽出します。grok パターンを使用して、タイムスタンプ、重大度、メッセージコンテンツなどのキーフィールドを特定し、抽出されたデータ（ログ内で利用可能な場合はプリンシパルと中間情報の両方を含む）を UDM モデルに入力します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認する
Cisco ワイヤレス LAN コントローラへの特権アクセス
AireOS 8.8.111.0 以降のソフトウェアを実行する Cisco ワイヤレス LAN コントローラ

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
- Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'CISCO_WIRELESS'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Cisco WLC で Syslog を構成する（GUI）

WLC ウェブ UI にログインします。
[管理> ログ> 構成] に移動します。
[Syslog Server IP Address] フィールドに、Bindplane エージェントの IP アドレスを入力します。
[追加] をクリックします。
次の構成の詳細を入力します。
- Syslog Severity: [Informational] を選択します。
- Syslog Facility: [Local Use 0] を選択します。
[適用] をクリックします。
[Save Configuration] をクリックします。

注: Syslog メッセージは、ポート 514 を使用して UDP トランスポート経由で送信されます。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`action_data`	`read_only_udm.security_result.action_details`	`action_data` フィールドから直接マッピングされます。
`data`	`read_only_udm.metadata.description`	`data` フィールドから直接マッピングされます（タイムスタンプや余分な文字の削除など、いくつかの処理の後）。ログメッセージの先頭にあるタイムスタンプから抽出されます。さまざまな形式がパーサーによって処理されます。`cisco_wireless.include` ファイル内の複雑なロジックを使用して、`mnemonic` フィールドと `messageToProcess` フィールドに基づいて決定されます。「CISCO_WIRELESS」に設定されます。`facility`、`cisco_severity`、`mnemonic` フィールドの連結。ログメッセージから抽出されます（利用可能な場合）。「CISCO_WIRELESS」に設定されます。使用可能な場合は `version` フィールドから抽出されます。「CISCO」に設定されます。イベントが DHCP に関連する場合は「DHCP」に設定します。ブロードキャストネットワークイベントの場合は「BROADCAST」に設定されます。UDP ネットワークイベントの場合は「UDP」に設定されます。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。ログ形式に応じて、`wlc_controller` フィールドまたは `hostname` フィールドからマッピングされます。説明または `MessageSourceAddress` から抽出されます（利用可能な場合）。ログ形式に応じて、`wlc_controller` フィールドまたは `hostname` フィールドからマッピングされます。説明または `MessageSourceAddress` から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。使用可能な場合は、`SourceModuleName` フィールドと `SourceModuleType` フィールドから作成されます。userid がメールアドレスのように見える場合、`read_only_udm.principal.user.userid` からマッピングされます。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。イベントタイプと説明に基づいて判断されます。イベントタイプと説明に基づいて判断されます。説明内の特定のフィールドから作成されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。複数のフィールドの情報を組み合わせることもあります。`cisco_severity` フィールドとイベントタイプに基づいて決定されます。`read_only_udm.security_result.severity` フィールドから取得されます。説明とイベントタイプから取得されたセキュリティ結果の簡潔な要約。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。説明から抽出されます（利用可能な場合）。設定変更イベントの場合は「SETTING」に設定されます。説明から抽出されます（利用可能な場合）。
`event_data`	`read_only_udm.metadata.product_event_type`	`event_data` フィールドから直接マッピングされます。
`event_id`	`read_only_udm.metadata.product_log_id`	`event_id` フィールドから直接マッピングされます。
`event_ts`	`read_only_udm.metadata.event_timestamp`	`event_ts` フィールドから直接マッピングされます。
`facility`	`read_only_udm.metadata.product_event_type`	`facility` フィールドから直接マッピングされます。
`hostname`	`read_only_udm.principal.hostname`	`hostname` フィールドから直接マッピングされます。
`hostname`	`read_only_udm.target.hostname`	`hostname` フィールドから直接マッピングされます。
`inter_mac`	`read_only_udm.intermediary.mac`	`inter_mac` フィールドから直接マッピングされます。
`intermediary_hostname`	`read_only_udm.intermediary.hostname`	`intermediary_hostname` フィールドから直接マッピングされます。
`kv_data`	`read_only_udm.principal.resource.attribute.labels`	Key-Value ペアとして解析され、ラベルの入力に使用されます。
`log_message`	`read_only_udm.security_result.description`	`log_message` フィールドから直接マッピングされます。
`MessageSourceAddress`	`read_only_udm.principal.asset.ip`	`MessageSourceAddress` フィールドから直接マッピングされます。
`MessageSourceAddress`	`read_only_udm.principal.ip`	`MessageSourceAddress` フィールドから直接マッピングされます。
`messageToProcess`	`read_only_udm.metadata.description`	処理後に `messageToProcess` フィールドから直接マッピングされます。
`mnemonic`	`read_only_udm.metadata.event_type`	他のフィールドと組み合わせてイベントタイプを特定するために使用されます。
`mnemonic`	`read_only_udm.metadata.product_event_type`	`mnemonic` フィールドから直接マッピングされます。
`severity_data`	`read_only_udm.security_result.severity`	`severity_data` フィールドから列挙値に変換された後、マッピングされます。
`SourceModuleName`	`read_only_udm.principal.resource.attribute.labels`	`SourceModuleName` フィールドから直接マッピングされます。
`SourceModuleType`	`read_only_udm.principal.resource.attribute.labels`	`SourceModuleType` フィールドから直接マッピングされます。
`timestamp`	`read_only_udm.metadata.event_timestamp`	`timestamp` フィールドから直接マッピングされます。
`version`	`read_only_udm.metadata.product_version`	`version` フィールドから直接マッピングされます。
`wlc_controller`	`read_only_udm.principal.hostname`	`wlc_controller` フィールドから直接マッピングされます。
`wlc_controller`	`read_only_udm.target.hostname`	`wlc_controller` フィールドから直接マッピングされます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。