Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Tintri

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Tintri dans Google Security Operations à l'aide de l'agent Bindplane.

Tintri est une plate-forme de stockage intelligente compatible avec les VM qui génère des journaux d'événements système, de capacité et de performances. Il fournit une gestion du stockage optimisée pour les environnements virtualisés dans les centres de données sur site.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et l'appliance Tintri VMstore
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à Tintri VMstore ou Tintri Global Center avec des autorisations d'administrateur

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification pour l'ingestion. Enregistrez-le de manière sécurisée sur le système sur lequel Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/tintri:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: TINTRI
        raw_log_field: body

service:
    pipelines:
        logs/tintri_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/tintri

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non root).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commande ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez le collecteur observIQ OpenTelemetry.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le transfert syslog Tintri

Connectez-vous à la console de gestion Tintri VMstore.
Accédez à Paramètres> Notifications> Syslog.
Cliquez sur Ajouter pour créer une entrée de serveur syslog.
Fournissez les informations de configuration suivantes :
- Serveur : saisissez l'adresse IP de l'hôte de l'agent Bindplane.
- Port : saisissez 514.
- Protocole : sélectionnez UDP.
Cliquez sur Enregistrer ou Appliquer pour enregistrer la configuration.
Vérifiez que les journaux sont envoyés en consultant les journaux de l'agent Bindplane.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
description	extensions.auth.type	Définissez sur "MACHINE" si la description correspond à "connecté\|login" ou "logged out\|logout"
event_timestamp	metadata.event_timestamp	Converti en code temporel à l'aide de la correspondance de date "MMM dd HH:mm:ss"
hostname,user_id,request_path,description	metadata.event_type	Défini sur "USER_LOGIN" si le nom d'hôte n'est pas vide et que (user_id n'est pas vide ou request_path n'est pas vide) et que la description correspond à "logged in\|login" ; "USER_LOGOUT" si le nom d'hôte n'est pas vide et que (user_id n'est pas vide ou request_path n'est pas vide) et que la description correspond à "logged out\|logout" ; "USER_UNCATEGORIZED" si le nom d'hôte n'est pas vide et que (user_id n'est pas vide ou request_path n'est pas vide) ; "STATUS_UPDATE" si le nom d'hôte n'est pas vide ; sinon "GENERIC_EVENT"
user_event	metadata.product_event_type	Valeur copiée directement
log_id	metadata.product_log_id	Valeur copiée directement
http_method	network.http.method	Valeur copiée directement
nom d'hôte	principal.asset.hostname	Valeur copiée directement
client_ip	principal.asset.ip	Fusionné à partir de client_ip
nom d'hôte	principal.hostname	Valeur copiée directement
client_ip	principal.ip	Fusionné à partir de client_ip
id	principal.process.pid	Converti en chaîne
logger	principal.resource.attribute.labels	Fusionné en tant que libellé avec la clé "logger" et la valeur du journaliseur
description	security_result.description	Valeur copiée directement
component,thread,client_type	security_result.detection_fields	Fusionnées en tant que libellés avec les clés "component", "thread", "client_type" et les valeurs des champs respectifs
log_level	security_result.severity	Défini sur "INFORMATIONAL" si log_level correspond à (?i)(DEBUG\|INFO\|AUDIT\|NOTICE) ; "ERROR" si (?i)ERROR ; "MEDIUM" si (?i)(WARNING\|WARN)
état	security_result.summary	Valeur copiée directement
request_path	target.url	Valeur copiée directement
user_id	target.user.userid	Valeur copiée directement
	metadata.product_name	Défini sur "Tintri"
	metadata.vendor_name	Défini sur "Tintri"

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.