收集 HPE iLO 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 HPE iLO(Hewlett Packard Enterprise Integrated Lights-Out)日志注入到 Google 安全运营中心。解析器代码会先尝试将原始日志消息解析为 JSON。如果失败,则会根据常见的 HP iLO 日志格式,使用正则表达式 (grok 模式) 从消息中提取字段。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者搭载 systemd 的 Linux 主机
- 如果在代理后运行,防火墙端口处于打开状态
- 对 HPE iLO 的特权访问权限
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,在 Linux 上,该目录位于/etc/bindplane-agent/目录中;在 Windows 上,该目录位于安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: HPE_ILO raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构中的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。在获取 Google SecOps 提取身份验证文件部分中,将
/path/to/ingestion-authentication-file.json更新为身份验证文件的保存路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 HP iLO 中配置 Syslog
- 登录 HPE iLO 网页界面。
- 前往管理 > 远程 Syslog 标签页。
- 点击 Enable iLO Remote Syslog(启用 iLO 远程 Syslog)。
- 提供以下配置详细信息:
- 远程 Syslog 端口:输入 Bindplane 端口号(例如
514)。 - 远程 Syslog 服务器:输入 Bindplane IP 地址。
- 远程 Syslog 端口:输入 Bindplane 端口号(例如
- 点击发送测试 Syslog,然后验证 Google SecOps 是否已收到该 Syslog。
- 点击应用。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
data |
系统会根据此字段的内容对其进行解析并映射到各种 UDM 字段。 | |
data.HOSTNAME |
principal.hostname | 如果“message”字段中的第一个 Grok 模式匹配,或者“description”字段包含“Host”,则进行映射。确定 event_type 是否为 STATUS_UPDATE。 |
data.HOSTNAME |
network.dns.questions.name | 由与“message”中的“DATA”匹配的 Grok 模式填充。如果不为空且不包含“(?i)not found”,则用于填充 dns.questions。 |
data.HOSTNAME |
target.user.user_display_name | 由与“message”中的“DATA”匹配的 Grok 模式填充。 |
data.IP |
target.ip | 由与“消息”或“摘要”中的“IP”匹配的 Grok 模式填充。 |
data.WORD |
metadata.product_event_type | 由与“message”中的“WORD”匹配的 Grok 模式填充。 |
data.GREEDYDATA |
security_result.summary | 由与“message”中的“GREEDYDATA”匹配的 Grok 模式填充。用于根据其内容确定 network.application_protocol 和 event_type。 |
data.TIMESTAMP_ISO8601 |
metadata.event_timestamp | 由日期插件根据各种时间戳格式填充。 |
data.MONTHNUM |
未映射 | |
data.MONTHDAY |
未映射 | |
data.YEAR |
未映射 | |
data.TIME |
未映射 | |
data.HOST |
principal.hostname | 当“message”字段中的第二个 Grok 模式匹配时进行映射。 |
data.INT |
未映射 | |
data.UserAgent |
network.http.user_agent | 当 description 字段包含 User-Agent 时进行映射。 |
data.Connection |
security_result.description | 当 description 字段包含 Connection 时进行映射。 |
| 不适用 | metadata.event_type | 默认为 GENERIC_EVENT。 如果 data.HOSTNAME 成功映射到 principal.hostname,则更改为 STATUS_UPDATE;如果填充了 question,则更改为 NETWORK_DNS;如果 summary 包含 Browser login,则更改为 USER_LOGIN。 |
| 不适用 | metadata.vendor_name | 已硬编码为 HP。 |
| 不适用 | metadata.log_type | 设置为 HPE_ILO。 |
| 不适用 | network.application_protocol | 如果 summary 包含 LDAP,则设置为 LDAP;如果填充了 question,则设置为 DNS。 |
| 不适用 | extensions.auth.type | 如果 summary 包含 Browser login,则设置为 MACHINE。 |
变化
2023-11-27
bug 修复:
- 如果日志为
Browser Login类型,请将metadata.event_type设置为USER_LOGIN。 - 如果存在
principal.hostname,则将metadata_event_type设置为STATUS_UPDATE。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。