Diese Seite wurde von der Cloud Translation API übersetzt.

Veritas NetBackup-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Veritas NetBackup-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser extrahiert Felder aus den Syslog-Nachrichten mithilfe von Grok-Mustern und ordnet sie dann dem einheitlichen Datenmodell (Unified Data Model, UDM) zu. Es werden verschiedene Logformate verarbeitet, darunter Schlüssel/Wert-Paare und JSON. Außerdem werden Datentransformationen für eine einheitliche Darstellung im UDM durchgeführt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Windows 2016 oder höher oder ein Linux-Host mit systemd
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Privilegierter Zugriff auf die Veritas NetBackup-Appliance

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Rufen Sie die Konfigurationsdatei auf:
- Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'VERITAS_NETBACKUP'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Syslog für Veritas NetBackup konfigurieren

Melden Sie sich in der Web-UI der NetBackup Appliance Shell an.
Gehen Sie zu Main> Einstellungen > LogForwarding.
Wählen Sie Aktivieren aus.
Geben Sie die folgenden Konfigurationsdetails an:
- Servername oder IP-Adresse: Geben Sie die IP-Adresse des Bindplane-Agents ein.
- Serverport: Geben Sie die Portnummer des Bindplane-Agents ein (z. B. 514).
- Protocol (Protokoll): Wählen Sie je nach Konfiguration des Bindplane-Agents UDP oder TCP aus.
- Intervall: Behalten Sie den Standardwert 15 bei. Wenn Sie das Intervall auf 0 festlegen, leitet die Appliance Syslogs kontinuierlich an den Zielserver weiter.
- TLS: Wählen Sie Nein aus.
Geben Sie Ja ein, um die Änderungen zu speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`data`	`additional.fields[0].value.string_value`	Das Datum und die Uhrzeit aus der Rohprotokollnachricht, die mit grok extrahiert und als „MM/TT/JJ HH:MM:SS“ formatiert wurden.
`data`	`metadata.description`	Der Beschreibungsteil der Nachricht, der mit „grok“ extrahiert wurde. Beispiel: „(OdbcStatement::ExecDirect:962)::Error“
`data`	`metadata.product_event_type`	Der mit grok extrahierte Produktereignistyp. Beispiel: „Error::83“
`data`	`principal.asset.hostname`	Der Hostname, der mit „grok“ aus der Syslog-Nachricht extrahiert wurde.
`data`	`principal.file.full_path`	Der aus den JSON-Daten im Log extrahierte PEM-Dateipfad.
`data`	`principal.hostname`	Der Hostname, der mit „grok“ aus der Syslog-Nachricht extrahiert wurde.
`data`	`security_result.detection_fields[0].key`	Der Schlüssel „SqlState“ wird hinzugefügt, wenn das Feld `SqlState` nach der Grok-Analyse im Rohlog vorhanden ist.
`data`	`security_result.detection_fields[0].value`	Der Wert von SqlState, der aus der Rohlognachricht mit „grok“ und „kv“ extrahiert wurde.
`data`	`security_result.detection_fields[1].key`	Der Schlüssel „NativeError“ wird hinzugefügt, wenn das Feld `NativeError` nach der Grok-Analyse im Rohlog vorhanden ist.
`data`	`security_result.detection_fields[1].value`	Der Wert von „NativeError“, der mit „grok“ und „kv“ aus der Rohlognachricht extrahiert wurde.
`data`	`security_result.detection_fields[2].key`	Der Schlüssel „sev“ wird hinzugefügt, wenn das Feld `sev` nach dem Grok-Parsing im Rohlog vorhanden ist.
`data`	`security_result.detection_fields[2].value`	Der Wert von `sev`, der aus den JSON-Daten im Log extrahiert wurde.
`data`	`security_result.severity`	Wird auf „LOW“ gesetzt, wenn das Feld `sev` (aus JSON extrahiert) „normal“ ist.
`data`	`security_result.summary`	Die Fehlermeldung oder Zusammenfassung, die mit grok aus der Rohlogmeldung extrahiert wurde. Der Schlüssel „date_time“ ist im Parser hartcodiert. Der Schlüssel „thread“ wird hinzugefügt, wenn das Feld `thread` nach dem Grok-Parsing im Rohlog vorhanden ist.
`data`	`additional.fields[1].value.string_value`	Der Wert von `thread`, der aus den JSON-Daten im Log extrahiert wurde. Der Schlüssel „m“ wird hinzugefügt, wenn das Feld `m` nach der Grok-Analyse im Rohlog vorhanden ist.
`data`	`additional.fields[2].value.string_value`	Der Wert von `m`, der aus den JSON-Daten im Log extrahiert wurde. Der Schlüssel „fn“ wird hinzugefügt, wenn das Feld `fn` nach dem Grok-Parsing im Rohlog vorhanden ist.
`data`	`additional.fields[3].value.string_value`	Der Wert von `fn`, der aus den JSON-Daten im Log extrahiert wurde.
`collection_time`	`metadata.event_timestamp`	Der Zeitstempel aus dem Feld `collection_time` im Rohlog. Wird auf „STATUS_UPDATE“ festgelegt, wenn ein primärer Hostname vorhanden ist, andernfalls auf „GENERIC_EVENT“. Fest codiert auf „Veritas Netbackup“. Fest codiert auf „VERITAS NETBACKUP“.
`collection_time`	`timestamp`	Der Zeitstempel aus dem Feld `collection_time` im Rohlog.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten