このページは Cloud Translation API によって翻訳されました。

HPE iLO ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して HPE iLO（Hewlett Packard Enterprise Integrated Lights-Out）ログを Google Security Operations に取り込む方法について説明します。パーサーコードは、まず未加工のログメッセージを JSON として解析しようとします。これが失敗した場合は、正規表現（grok パターン）を使用して、一般的な HP iLO ログ形式に基づいてメッセージからフィールドを抽出します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Windows 2016 以降、または systemd を使用する Linux ホスト
プロキシの背後で実行されている場合、ファイアウォールポートが開いている
HPE iLO への特権アクセス

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux へのインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
- config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリ、Windows ではインストールディレクトリにあります。
- テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

        receivers:
            udplog:
                # Replace the port and IP address as required
                listen_address: "0.0.0.0:514"

        exporters:
            chronicle/chronicle_w_labels:
                compression: gzip
                # Adjust the path to the credentials file you downloaded in Step 1
                creds: '/path/to/ingestion-authentication-file.json'
                # Replace with your actual customer ID from Step 2
                customer_id: <customer_id>
                endpoint: malachiteingestion-pa.googleapis.com
                # Add optional ingestion labels for better organization
                ingestion_labels:
                    log_type: HPE_ILO
                    raw_log_field: body

        service:
            pipelines:
                logs/source0__chronicle_w_labels-0:
                    receivers:
                        - udplog
                    exporters:
                        - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際のお客様 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

HP iLO で Syslog を構成する

HPE iLO の Web UI にログインします。
[Management] > [Remote Syslog] タブに移動します。
[iLO Remote Syslog] の [Enable] をクリックします。
次の構成情報を提供してください。
- リモート Syslog ポート: Bindplane ポート番号を入力します（例: 514）。
- リモート Syslog サーバー: Bindplane の IP アドレスを入力します。
[Send Test Syslog] をクリックし、Google SecOps で受信されたことを確認します。
[適用] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`data`		このフィールドは解析され、その内容に基づいてさまざまな UDM フィールドにマッピングされます。
`data.HOSTNAME`	principal.hostname	「message」フィールドの最初の grok パターンが一致する場合、または「description」フィールドに「Host」が含まれている場合にマッピングされます。event_type が STATUS_UPDATE かどうかを判断します。
`data.HOSTNAME`	network.dns.questions.name	「message」の「DATA」に一致する grok パターンによって入力されます。空ではなく、「(?i)not found」が含まれていない場合に、dns.questions に入力するために使用されます。
`data.HOSTNAME`	target.user.user_display_name	「message」の「DATA」に一致する grok パターンによって入力されます。
`data.IP`	target.ip	「message」または「summary」の「IP」に一致する grok パターンによって入力されます。
`data.WORD`	metadata.product_event_type	「message」の「WORD」に一致する grok パターンによって入力されます。
`data.GREEDYDATA`	security_result.summary	「message」内の「GREEDYDATA」に一致する Grok パターンによって入力されます。コンテンツに基づいて network.application_protocol と event_type を特定するために使用されます。
`data.TIMESTAMP_ISO8601`	metadata.event_timestamp	さまざまなタイムスタンプ形式に基づいて日付プラグインによって入力されます。
`data.MONTHNUM`		マッピングされません
`data.MONTHDAY`		マッピングされません
`data.YEAR`		マッピングされません
`data.TIME`		マッピングされません
`data.HOST`	principal.hostname	「message」フィールドの 2 番目の grok パターンが一致するとマッピングされます。
`data.INT`		マッピングされません
`data.UserAgent`	network.http.user_agent	`description` フィールドに `User-Agent` が含まれている場合にマッピングされます。
`data.Connection`	security_result.description	`description` フィールドに `Connection` が含まれている場合にマッピングされます。
なし	metadata.event_type	デフォルトは `GENERIC_EVENT` です。`data.HOSTNAME` が principal.hostname に正常にマッピングされた場合は `STATUS_UPDATE`、`question` が入力されている場合は `NETWORK_DNS`、`summary` に `Browser login` が含まれている場合は `USER_LOGIN` に変更されます。
なし	metadata.vendor_name	`HP` にハードコードされています。
なし	metadata.log_type	`HPE_ILO` に設定します。
なし	network.application_protocol	`summary` に `LDAP` が含まれている場合は `LDAP` に設定し、`question` が入力されている場合は `DNS` に設定します。
なし	extensions.auth.type	`summary` に `Browser login` が含まれている場合は、`MACHINE` に設定します。

変更点

2023-11-27

バグの修正:

ログが Browser Login 型の場合は、metadata.event_type を USER_LOGIN に設定します。
principal.hostname が存在する場合は、metadata_event_type を STATUS_UPDATE に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。