Mengumpulkan log VMware Networking and Security Virtualization (NSX) Manager

Dokumen ini menjelaskan cara mengumpulkan log VMware Networking and Security Virtualization (NSX) Manager. Parser mengekstrak kolom menggunakan berbagai pola grok berdasarkan format pesan. Kemudian, modul ini melakukan penguraian key-value, penguraian JSON, dan logika bersyarat untuk memetakan kolom yang diekstrak ke UDM, menangani berbagai format log, dan memperkaya data dengan konteks tambahan.

Sebelum memulai

• Pastikan Anda memiliki instance Google Security Operations.
• Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
• Jika berjalan di belakang proxy, pastikan port firewall terbuka.
• Pastikan Anda memiliki akses administratif ke VMWare NSX.

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane Agent akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk memproses Syslog dan mengirimkannya ke Google SecOps

1. Akses file konfigurasi:

   • Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   • Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: vmware_nsx
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang Bindplane Agent untuk menerapkan perubahan

• Di Linux, untuk memulai ulang Agen Bindplane, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Di Windows, untuk memulai ulang Bindplane Agent, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Konfigurasi Syslog untuk NSX Edge

1. Login ke vSphere Web Client.
2. Buka Networking & Security > NSX Edges.
3. Pilih instance NSX Edge tertentu yang ingin Anda konfigurasi.
4. Buka Setelan Syslog:
   1. Untuk NSX 6.4.4 dan yang lebih baru:
      • Buka Kelola > Setelan > Setelan Peralatan.
      • Klik Setelan > Ubah Konfigurasi Syslog.
   2. Untuk NSX 6.4.3 dan yang lebih lama:
      • Buka Kelola > Setelan > Konfigurasi.
      • Dalam dialog Detail, klik Ubah.
5. Konfigurasi detail server Syslog:
   • Server: masukkan alamat IP atau nama host server Syslog (Bindplane).
   • Protocol: pilih UDP atau TCP (bergantung pada konfigurasi Bindplane Anda).
   • Port: masukkan nomor port (bergantung pada konfigurasi Bindplane Anda).
6. Klik OK untuk menyimpan setelan.

Konfigurasi Syslog untuk NSX Manager

1. Login ke antarmuka web NSX Manager dengan kredensial administrator sebagai berikut:
   • https://<NSX-Manager-IP> atau https://<NSX-Manager-Hostname>.
2. Buka Kelola Setelan Peralatan > Umum.
3. Klik Edit untuk mengonfigurasi setelan server Syslog.
4. Masukkan detail server Syslog:
   • Server: masukkan alamat IP atau nama host server Syslog (Bindplane).
   • Protocol: pilih UDP atau TCP (bergantung pada konfigurasi Bindplane Anda).
   • Port: masukkan nomor port (bergantung pada konfigurasi Bindplane Anda).
5. Klik OK untuk menyimpan setelan.

Konfigurasi Syslog untuk NSX Controller

1. Login ke vSphere Web Client.
2. Buka Networking & Security > Installation and Upgrade > Management > NSX Controller Nodes.
3. Pilih NSX Manager yang mengelola node pengontrol.
4. Klik Common Controller Attributes Edit.
5. Dalam dialog Syslog Servers, klik Add:
   1. Masukkan nama atau alamat IP server Syslog.
   2. Pilih protokol UDP (bergantung pada konfigurasi Bindplane Anda).
   3. Tetapkan Log Level (misalnya, INFO).
6. Klik OK untuk menyimpan setelan.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.