このページは Cloud Translation API によって翻訳されました。

VMware Networking and Security Virtualization（NSX）Manager ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、VMware Networking and Security Virtualization（NSX）Manager のログを収集する方法について説明します。パーサーは、メッセージ形式に基づいてさまざまな grok パターンを使用してフィールドを抽出します。次に、Key-Value の解析、JSON の解析、条件ロジックを実行して、抽出されたフィールドを UDM にマッピングし、さまざまなログ形式を処理して、追加のコンテキストでデータを拡充します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
VMWare NSX への管理者権限があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane エージェントがインストールされるシステムに、ファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: vmware_nsx
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane Agent を再起動して変更を適用する

Linux で Bindplane Agent を再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane Agent を再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

NSX Edge の Syslog 構成

vSphere Web Client にログインします。
[Networking & Security] > [NSX Edges] に移動します。
構成する特定の NSX Edge インスタンスを選択します。
[Syslog 設定] に移動します。
1. NSX 6.4.4 以降の場合:
  - [管理> 設定 > アプライアンスの設定] に移動します。
  - [Settings> Change Syslog Configuration] をクリックします。
2. NSX 6.4.3 以前の場合:
  - [管理] > [設定] > [構成] に移動します。
  - [詳細] ダイアログで、[変更] をクリックします。
Syslog サーバーの詳細を構成します。
- サーバー: Syslog サーバー（Bindplane）の IP アドレスまたはホスト名を入力します。
- プロトコル: Bindplane の構成に応じて、[UDP] または [TCP] を選択します。
- ポート: ポート番号を入力します（Bindplane の構成によって異なります）。
[OK] をクリックして設定を保存します。

NSX Manager の Syslog 構成

次の手順で、管理者認証情報を使用して NSX Manager ウェブインターフェースにログインします。
- https://<NSX-Manager-IP> または https://<NSX-Manager-Hostname>
[アプライアンス設定の管理] > [全般] に移動します。
[編集] をクリックして、Syslog サーバーの設定を構成します。
Syslog サーバーの詳細を入力します。
- サーバー: Syslog サーバー（Bindplane）の IP アドレスまたはホスト名を入力します。
- プロトコル: Bindplane の構成に応じて、[UDP] または [TCP] を選択します。
- ポート: ポート番号を入力します（Bindplane の構成によって異なります）。
[OK] をクリックして設定を保存します。

NSX Controller の Syslog 構成

vSphere Web Client にログインします。
[Networking & Security] > [Installation and Upgrade] > [Management] > [NSX Controller Nodes] に移動します。
コントローラノードを管理する NSX Manager を選択します。
[Common Controller Attributes Edit] をクリックします。
[Syslog Servers] ダイアログで、[Add] をクリックします。
1. Syslog サーバーの名前または IP アドレスを入力します。
2. UDP プロトコルを選択します（Bindplane の構成によって異なります）。
3. [ログレベル] を設定します（例: INFO）。
[OK] をクリックして設定を保存します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`DST`	`event.idm.read_only_udm.target.ip`	宛先 IP アドレスは、未加工ログの `DST` フィールドから抽出されます。
`ID`	`event.idm.read_only_udm.metadata.product_log_id`	プロダクトログ ID は、未加工ログの `ID` フィールドから抽出されます。
`MAC`	`event.idm.read_only_udm.principal.mac`	MAC アドレスは、未加工ログの `MAC` フィールドから抽出されます。
`ModuleName`	`event.idm.read_only_udm.metadata.product_event_type`	プロダクトイベントのタイプは、未加工ログの `ModuleName` フィールドから抽出されます。
`Operation`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	オペレーションは未加工ログの `Operation` フィールドから抽出され、キー「Operation」のラベルとして追加されます。
`PROTO`	`event.idm.read_only_udm.network.ip_protocol`	IP プロトコルは、未加工ログの `PROTO` フィールドから抽出されます。
`RES`	`event.idm.read_only_udm.target.resource.name`	ターゲットリソース名は、未加工ログの `RES` フィールドから抽出されます。
`SRC`	`event.idm.read_only_udm.principal.ip`	送信元 IP アドレスは、未加工ログの `SRC` フィールドから抽出されます。
`SPT`	`event.idm.read_only_udm.principal.port`	送信元ポートは、未加工ログの `SPT` フィールドから抽出されます。
`UserName`	`event.idm.read_only_udm.principal.user.userid`	ユーザー ID は、未加工ログの `UserName` フィールドから抽出されます。
`app_type`	`event.idm.read_only_udm.principal.application`	プリンシパルアプリケーションは、未加工ログの `app_type` フィールドから抽出されます。
`application`	`event.idm.read_only_udm.target.application`	ターゲットアプリケーションは、未加工ログの `application` フィールドから抽出されます。
`audit`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	監査値は、未加工ログの `audit` フィールドから抽出され、キー「audit」のラベルとして追加されます。
`cancelTimeUTC`	`event.idm.read_only_udm.principal.resource.attribute.last_update_time`	最終更新日時は、未加工ログの `cancelTimeUTC` フィールドから取得されます。
`client`	`event.idm.read_only_udm.principal.ip` または `event.idm.read_only_udm.principal.administrative_domain`	`client` フィールドが IP アドレスの場合、プリンシパル IP にマッピングされます。それ以外の場合は、プリンシパル管理ドメインにマッピングされます。
`comp`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	コンポーネント値は、未加工ログの `comp` フィールドから抽出され、キー「Comp」のラベルとして追加されます。
`datetime`	`event.idm.read_only_udm.metadata.event_timestamp`	イベントのタイムスタンプは、未加工ログの `datetime` フィールドから抽出されます。
`description`	`event.idm.read_only_udm.metadata.description`	説明は、未加工ログの `description` フィールドから抽出されます。
`details`	`event.idm.read_only_udm.principal.resource.attribute.labels`	詳細は未加工ログの `details` フィールドから抽出され、ラベルとして追加されます。
`direction`	`event.idm.read_only_udm.network.direction`	`direction` フィールドが「OUT」の場合、「OUTBOUND」にマッピングされます。
`dst_ip`	`event.idm.read_only_udm.target.ip`	宛先 IP アドレスは、未加工ログの `dst_ip` フィールドから抽出されます。
`DPT`	`event.idm.read_only_udm.target.port`	宛先ポートは、未加工ログの `DPT` フィールドから抽出されます。
`errorCode`	`event.idm.read_only_udm.security_result.detection_fields`	エラーコードは、未加工ログの `errorCode` フィールドから抽出され、検出フィールドとして追加されます。
`eventType`	`event.idm.read_only_udm.metadata.product_event_type`	プロダクトイベントのタイプは、未加工ログの `eventType` フィールドから抽出されます。
`filepath`	`event.idm.read_only_udm.principal.process.file.full_path`	ファイルパスは、未加工ログの `filepath` フィールドから抽出されます。
`hostname`	`event.idm.read_only_udm.principal.ip`	ホスト名は未加工ログの `hostname` フィールドから抽出され、IP アドレスの場合はプリンシパル IP にマッピングされます。
`kv_data`	さまざまな UDM フィールド	`kv_data` の Key-Value ペアは、キーに基づいてさまざまな UDM フィールドにマッピングされます。
`kv_data1`	さまざまな UDM フィールド	`kv_data1` の Key-Value ペアは、キーに基づいてさまざまな UDM フィールドにマッピングされます。
`kv_data2`	さまざまな UDM フィールド	`kv_data2` の Key-Value ペアは、キーに基づいてさまざまな UDM フィールドにマッピングされます。
`kv_data3`	さまざまな UDM フィールド	`kv_data3` の Key-Value ペアは、キーに基づいてさまざまな UDM フィールドにマッピングされます。
`kv_data4`	さまざまな UDM フィールド	`kv_data4` の Key-Value ペアは、キーに基づいてさまざまな UDM フィールドにマッピングされます。
`level`	`event.idm.read_only_udm.security_result.severity`	`level` フィールドが「INFO」の場合、「INFORMATIONAL」にマッピングされます。「ERROR」の場合は、「ERROR」にマッピングされます。
`managedExternally`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	managedExternally の値は、未加工ログの `managedExternally` フィールドから抽出され、キー「managedExternally」のラベルとして追加されます。
`message`	さまざまな UDM フィールド	メッセージフィールドが解析され、さまざまな UDM フィールドが抽出されます。
`message_data`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	メッセージデータは未加工ログの `message_data` フィールドから抽出され、キー「message」のラベルとして追加されます。
`network_status`	`event.idm.read_only_udm.additional.fields`	ネットワークステータスは、未加工ログの `network_status` フィールドから抽出され、キー「Network_Connection_Status」の追加フィールドとして追加されます。
`new_value`	さまざまな `event.idm.read_only_udm.target` フィールド	新しい値は、未加工ログの `new_value` フィールドから抽出され、さまざまなターゲットフィールドの入力に使用されます。
`node`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	ノード値は、未加工ログの `node` フィールドから抽出され、キー「node」を持つラベルとして追加されます。
`old_value`	さまざまな UDM フィールド	古い値は未加工ログの `old_value` フィールドから抽出され、さまざまな UDM フィールドに値を設定するために使用されます。
`payload`	さまざまな UDM フィールド	ペイロードは未加工ログの `payload` フィールドから抽出され、さまざまな UDM フィールドに値を設定するために使用されます。
`pid`	`event.idm.read_only_udm.target.process.pid`	プロセス ID は、未加工ログの `pid` フィールドから抽出されます。
`reqId`	`event.idm.read_only_udm.metadata.product_log_id`	プロダクトログ ID は、未加工ログの `reqId` フィールドから抽出されます。
`resourceId`	`event.idm.read_only_udm.principal.resource.product_object_id`	プロダクトオブジェクト ID は、未加工ログの `resourceId` フィールドから抽出されます。
`s2comp`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	s2comp 値は、未加工ログの `s2comp` フィールドから抽出され、キー「s2comp」のラベルとして追加されます。
`ses`	`event.idm.read_only_udm.network.session_id`	セッション ID は、未加工ログの `ses` フィールドから抽出されます。
`src_host`	`event.idm.read_only_udm.principal.hostname`	プリンシパルホスト名は、未加工ログの `src_host` フィールドから抽出されます。
`src_ip`	`event.idm.read_only_udm.principal.ip`	送信元 IP アドレスは、未加工ログの `src_ip` フィールドから抽出されます。
`src_ip1`	`event.idm.read_only_udm.principal.ip`	送信元 IP アドレスは、未加工ログの `src_ip1` フィールドから抽出されます。
`src_port`	`event.idm.read_only_udm.principal.port`	送信元ポートは、未加工ログの `src_port` フィールドから抽出されます。
`startTimeUTC`	`event.idm.read_only_udm.principal.resource.attribute.creation_time`	作成時間は、未加工ログの `startTimeUTC` フィールドから取得されます。
`subcomp`	`event.idm.read_only_udm.network.application_protocol` または `event.idm.read_only_udm.principal.resource.attribute.labels.value`	`subcomp` フィールドが「http」の場合、「HTTP」にマッピングされます。それ以外の場合は、キー「Sub Comp」のラベルとして追加されます。
`tname`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	tname 値は、未加工ログの `tname` フィールドから抽出され、キー「tname」のラベルとして追加されます。
`type`	`event.idm.read_only_udm.metadata.product_event_type`	プロダクトイベントのタイプは、未加工ログの `type` フィールドから抽出されます。
`uid`	`event.idm.read_only_udm.principal.user.userid`	ユーザー ID は、未加工ログの `uid` フィールドから抽出されます。
`update`	`event.idm.read_only_udm.principal.resource.attribute.labels.value`	更新値は、未加工ログの `update` フィールドから抽出され、キー「update」のラベルとして追加されます。
`user`	`event.idm.read_only_udm.principal.user.user_display_name`	ユーザーの表示名は、未加工ログの `user` フィールドから抽出されます。
`vmw_cluster`	`event.idm.read_only_udm.target.resource.name`	ターゲットリソース名は、未加工ログの `vmw_cluster` フィールドから抽出されます。
`vmw_datacenter`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	vmw_datacenter 値は、未加工ログの `vmw_datacenter` フィールドから抽出され、キー「vmw_datacenter」のラベルとして追加されます。
`vmw_host`	`event.idm.read_only_udm.target.hostname` または `event.idm.read_only_udm.target.ip`	`vmw_host` フィールドがホスト名の場合、ターゲットホスト名にマッピングされます。それ以外の場合、IP アドレスであれば、ターゲット IP にマッピングされます。
`vmw_object_id`	`event.idm.read_only_udm.target.resource.product_object_id`	プロダクトオブジェクト ID は、未加工ログの `vmw_object_id` フィールドから抽出されます。
`vmw_product`	`event.idm.read_only_udm.target.application`	ターゲットアプリケーションは、未加工ログの `vmw_product` フィールドから抽出されます。
`vmw_vcenter`	`event.idm.read_only_udm.target.cloud.availability_zone`	アベイラビリティゾーンは、未加工ログの `vmw_vcenter` フィールドから抽出されます。
`vmw_vcenter_id`	`event.idm.read_only_udm.target.resource.attribute.labels.value`	vmw_vcenter_id 値は、未加工ログの `vmw_vcenter_id` フィールドから抽出され、キー「vmw_vcenter_id」のラベルとして追加されます。
`vmw_vr_ops_appname`	`event.idm.read_only_udm.intermediary.application`	中間アプリケーションは、未加工ログの `vmw_vr_ops_appname` フィールドから抽出されます。
`vmw_vr_ops_clustername`	`event.idm.read_only_udm.intermediary.resource.name`	仲介リソース名は、未加工ログの `vmw_vr_ops_clustername` フィールドから抽出されます。
`vmw_vr_ops_clusterrole`	`event.idm.read_only_udm.intermediary.resource.attribute.roles.name`	仲介リソースのロール名は、未加工ログの `vmw_vr_ops_clusterrole` フィールドから抽出されます。
`vmw_vr_ops_hostname`	`event.idm.read_only_udm.intermediary.hostname`	仲介ホスト名は、未加工ログの `vmw_vr_ops_hostname` フィールドから抽出されます。
`vmw_vr_ops_id`	`event.idm.read_only_udm.intermediary.resource.product_object_id`	仲介プロダクトオブジェクト ID は、未加工ログの `vmw_vr_ops_id` フィールドから抽出されます。
`vmw_vr_ops_logtype`	`event.idm.read_only_udm.intermediary.resource.attribute.labels.value`	vmw_vr_ops_logtype 値は、未加工ログの `vmw_vr_ops_logtype` フィールドから抽出され、キー「vmw_vr_ops_logtype」のラベルとして追加されます。
`vmw_vr_ops_nodename`	`event.idm.read_only_udm.intermediary.resource.attribute.labels.value`	vmw_vr_ops_nodename 値は、未加工ログの `vmw_vr_ops_nodename` フィールドから抽出され、キー「vmw_vr_ops_nodename」のラベルとして追加されます。他のフィールドの値に基づく一連の条件文によって決定されます。有効な値は、USER_LOGIN、NETWORK_CONNECTION、STATUS_UPDATE、GENERIC_EVENT です。「VMWARE_NSX」にハードコードされます。「VMWARE_NSX」にハードコードされます。「VMWARE_NSX」にハードコードされます。`Operation` が「LOGIN」で `target_details` が空でない場合、または `message` に「authentication failure」が含まれていて `application` が空でない場合は、「AUTHTYPE_UNSPECIFIED」に設定されます。`PROTO` が「ssh2」の場合は「SSH」に設定し、`subcomp` が「http」の場合は「HTTP」に設定します。他のフィールドの値に基づく一連の条件文によって決定されます。有効な値は ALLOW と BLOCK です。`vmw_cluster` が空でない場合は、「VIRTUAL_MACHINE」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。