此页面由 Cloud Translation API 翻译。

收集 VMware Workspace ONE UEM 日志

支持的语言：

Google SecOps SIEM

此解析器以 Syslog、CEF 或键值对格式从 VMware Workspace ONE UEM（以前称为 VMware AirWatch）提取日志。它会对用户名、时间戳和事件详情等字段进行归一化处理，并将它们映射到 UDM。解析器会处理各种 Workspace ONE UEM 事件类型，并根据特定事件数据和不同日志格式的逻辑填充正文、目标和其他 UDM 字段。

准备工作

确保您拥有 Google Security Operations 实例。
确保您对 VMware Workspace ONE 控制台拥有特权访问权限。
确保您拥有一个搭载 systemd 的 Windows 或 Linux 主机。
如果是在代理后面运行，请确保防火墙端口处于开放状态。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
从组织详细信息部分复制并保存客户 ID。

安装 BindPlane 代理

对于 Windows 安装，请运行以下脚本：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
对于 Linux 安装，请运行以下脚本：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问安装了 Bindplane 的机器。

按如下方式修改 config.yaml 文件：

receivers:
  tcplog:
    # Replace the below port <54525> and IP (0.0.0.0) with your specific values
    listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: 
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

使用以下命令重启 Bindplane 代理以应用更改： sudo systemctl bindplane restart

在 VMware Workspace ONE UEM 中配置 syslog

登录 Workspace ONE UEM 控制台：
依次前往设置 > 系统 > 高级 > Syslog。
选中启用 Syslog 选项。
为以下输入参数指定值：
- IP 地址/主机名：输入 Bindplane 代理的地址。
- 端口：输入指定端口（默认：514）。
- 协议：根据您的 Bindplane 代理配置，选择 UDP 或 TCP。
- 选择日志类型：选择要发送到 Google SecOps 的日志 - 设备管理日志、控制台活动日志、合规性日志、事件日志
- 设置日志级别（例如信息、警告、错误）。
点击保存以应用设置

UDM 映射表

日志字段	UDM 映射	逻辑
`AdminAccount`	`principal.user.userid`	原始日志中的 `AdminAccount` 会映射到 `principal.user.userid` 字段。
`Application`	`target.application`	原始日志中的 `Application` 字段会映射到 `target.application` 字段。
`ApplicationUUID`	`additional.fields`	原始日志中的 `ApplicationUUID` 字段将作为键值对添加到 UDM 中的 `additional.fields` 数组。键为“ApplicationUUID”。
`BytesReceived`	`network.received_bytes`	原始日志中的 `BytesReceived` 字段会映射到 `network.received_bytes` 字段。
`Device`	`target.hostname`	原始日志中的 `Device` 字段会映射到 `target.hostname` 字段。
`FriendlyName`	`target.hostname`	如果 `Device` 不可用，原始日志中的 `FriendlyName` 字段会映射到 `target.hostname` 字段。
`GroupManagementData`	`security_result.description`	原始日志中的 `GroupManagementData` 字段会映射到 `security_result.description` 字段。
`Hmac`	`additional.fields`	原始日志中的 `Hmac` 字段将作为键值对添加到 UDM 中的 `additional.fields` 数组。键为“Hmac”。
`LoginSessionID`	`network.session_id`	原始日志中的 `LoginSessionID` 字段会映射到 `network.session_id` 字段。
`LogDescription`	`metadata.description`	原始日志中的 `LogDescription` 字段会映射到 `metadata.description` 字段。
`MessageText`	`metadata.description`	原始日志中的 `MessageText` 字段会映射到 `metadata.description` 字段。
`OriginatingOrganizationGroup`	`principal.user.group_identifiers`	原始日志中的 `OriginatingOrganizationGroup` 字段会映射到 `principal.user.group_identifiers` 字段。
`OwnershipType`	`additional.fields`	原始日志中的 `OwnershipType` 字段将作为键值对添加到 UDM 中的 `additional.fields` 数组。键为“OwnershipType”。
`Profile`	`target.resource.name`	如果 `ProfileName` 不可用，原始日志中的 `Profile` 字段会映射到 `target.resource.name` 字段。
`ProfileName`	`target.resource.name`	原始日志中的 `ProfileName` 字段会映射到 `target.resource.name` 字段。
`Request Url`	`target.url`	原始日志中的 `Request Url` 字段会映射到 `target.url` 字段。
`SmartGroupName`	`target.group.group_display_name`	原始日志中的 `SmartGroupName` 字段会映射到 `target.group.group_display_name` 字段。
`Tags`	`additional.fields`	原始日志中的 `Tags` 字段将作为键值对添加到 UDM 中的 `additional.fields` 数组。键为“Tags”。
`User`	`target.user.userid`	原始日志中的 `User` 字段会映射到 `target.user.userid` 字段。原始日志中的 `Event Category` 会以键值对的形式添加到 UDM 中的 `additional.fields` 数组。键为“事件类别”。原始日志中的 `Event Module` 会以键值对的形式添加到 UDM 中的 `additional.fields` 数组。键为“Event Module”。原始日志中的 `Event Source` 会以键值对的形式添加到 UDM 中的 `additional.fields` 数组。键为“事件来源”。由解析器针对特定事件设置为“SSO”。派生自原始日志的时间戳。解析器从原始日志中提取日期和时间，并将其转换为 UDM 时间戳。由解析器根据 `event_name` 和其他字段确定。如需了解映射逻辑，请参阅解析器代码。由解析器设置为“AIRWATCH”。原始日志中的 `event_name` 会映射到 `metadata.product_event_type` 字段。由解析器设置为“AirWatch”。由解析器设置为“VMWare”。原始日志中的 `domain` 会映射到 `principal.administrative_domain` 字段。`hostname` 从原始日志的 `device_name` 字段中提取，或从 `Device` 或 `FriendlyName` 字段中映射。原始日志中的 `sys_ip` 会映射到 `principal.ip` 字段。从某些事件类型的原始日志中提取。从某些事件类型的原始日志中提取。原始日志中的 `user_name` 会映射到 `principal.user.userid` 字段。从某些事件类型的原始日志中提取。由解析器针对特定事件设置。由解析器针对特定事件设置。原始日志中的 `event_category` 会映射到 `security_result.category_details` 字段。从某些事件类型的原始日志中提取。从某些事件类型的原始日志中提取。原始日志中的 `domain` 会映射到 `target.administrative_domain` 字段。通过将“DeleteDeviceRequested”事件的原始日志中的 `DeviceSerialNumber` 和 `DeviceUdid` 相结合来构建。从某些事件类型的原始日志中提取。从某些事件类型的原始日志中提取。原始日志中的 `sys_ip` 或其他 IP 地址会映射到 `target.ip` 字段。从某些事件类型的原始日志中提取。从某些事件类型的原始日志中提取。由解析器针对特定事件设置。从某些事件类型的原始日志中提取。从某些事件类型的原始日志中提取。从某些事件类型的原始日志中提取。