Vordefinierte und benutzerdefinierte Parser verwalten
In diesem Dokument finden Sie eine Anleitung zum Verwalten von Parsern in Google Security Operations. Darin wird beschrieben, wie Sie Updates für vordefinierte und benutzerdefinierte Parser verarbeiten, Parsererweiterungen erstellen und den Zugriff auf Parserverwaltungsfunktionen steuern:
- Updates für vorgefertigte Parser verwalten
- Vorgefertigte Parserversionen verwalten
- Benutzerdefinierte Parser verwalten
- Erweiterung erstellen
- Zugriff auf die Parserverwaltung steuern
Parsertypen
Parser-Typen und ihre Funktionen:
| Parsertyp | Beschreibung |
|---|---|
| Vordefiniert | Von Google SecOps erstellte Parser, die integrierte Zuordnungen zum Transformieren von ursprünglichen Logdaten in UDM-Felder enthalten. |
| Vordefiniert (erweitert) | Ein von Kunden erstellter vordefinierter Parser mit zusätzlichen Zuordnungsanweisungen, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren und in den UDM-Datensatz einzufügen. |
| Benutzerdefiniert | Parser, die von Kunden mit benutzerdefinierten Datenzuordnungsanweisungen zum Transformieren von ursprünglichen Logdaten in UDM-Felder erstellt werden. |
| Benutzerdefiniert (erweitert) | Ein benutzerdefinierter Parser, der von Kunden mit zusätzlichen Zuordnungsanweisungen mithilfe einer Parser-Erweiterung erstellt wurde, um zusätzliche Daten aus einem ursprünglichen Rohlog zu extrahieren und in den UDM-Datensatz einzufügen. |
Unterstützungsstufen für Parser
Google SecOps bietet die folgenden Parser-Supportstufen:
| Parser-Typ | Beschreibung und Support |
|---|---|
| Premium-Parser | Google SecOps bietet hochwertige Parser für die am häufigsten verwendeten Datenquellen mit hohem Volumen. Kundenanfragen zu Premium-Parsern werden in der Regel innerhalb weniger Tage bearbeitet. |
| Standard-Parser | Für andere unterstützte Datenquellen bietet Google SecOps Support nach bestem Wissen und Gewissen an. Die typische Reaktionszeit beträgt einige Wochen. Um den unmittelbaren Bedarf zu decken, können Sie Parser-Erweiterungen zur Selbsthilfe und die Funktion zum automatischen Extrahieren verwenden. |
| Von Kunden entwickelte Parser und Erweiterungen | Google SecOps bietet keinen Support für diese. Wir empfehlen, dies entweder selbst oder mit Unterstützung von Google-Partnern zu verwalten. |
Eine vollständige Liste der Premium- und Standard-Parser finden Sie unter Standard-Parserkonfiguration.
Eine Übersicht zum Parsen von Rohlogs in das UDM-Format (Unified Data Model) finden Sie unter Übersicht zum Parsen von Logs.
Updates für vordefinierte Parser verwalten
Google SecOps aktualisiert die vordefinierten Parser in der Regel in der vierten Woche jedes Monats. Diese Updates werden Kunden zuerst für Early Access und Tests zur Verfügung gestellt. Wenn anstehende Parser-Updates verfügbar sind, werden sie in der Parserliste als Ausstehendes Update gekennzeichnet. Sie können sich die Unterschiede zwischen der alten und der neuen Parserversion ansehen, das Parser-Update frühzeitig aktivieren, um es zu testen, oder das Update überspringen und einen benutzerdefinierten Parser erstellen.
So rufen Sie die ausstehende Aktualisierung auf:
Wählen Sie Einstellungen > SIEM-Einstellungen > Parser aus.
Klicken Sie auf Filtern.
Wählen Sie aus der Liste Vorgefertigt, Aktiv und Vorgefertigt (erweitert) aus.
Eine Liste der aktiven (Standard) und vordefinierten Parser wird angezeigt. Anstehende Parser-Updates sind in der Spalte Update als Ausstehend gekennzeichnet.
Klicken Sie auf Menü und wählen Sie Ausstehende Aktualisierung ansehen aus der Liste aus.
Die Seite Parser vergleichen wird angezeigt. Hier sehen Sie Folgendes:
Der Codeunterschied zwischen der aktuellen und der bevorstehenden Parserversion.
Die Änderungsprotokolle auf dem Tab Änderungsprotokolle.
Das generierte UDM-Ereignis für das Stichproben-Rohlog.
Datum und Uhrzeit der Parsererstellung.
Datum und Uhrzeit der letzten Aktualisierung des Parsercodes.
Sie können das Parser-Update entweder vorzeitig aktivieren, das Update überspringen und einen benutzerdefinierten Parser erstellen oder warten, bis das Update in der vierten Woche des Monats automatisch angewendet wird.
Parser-Update frühzeitig aktivieren
Mit der Funktion zur Parserverwaltung können Sie das Parser-Update frühzeitig aktivieren. Zum Beispiel, wenn Sie es testen möchten.
So aktivieren Sie das Parser-Update vorzeitig:
Klicken Sie auf der Seite Parser vergleichen auf Parser-Update aktivieren.
Das Dialogfeld Parser-Update bestätigen wird angezeigt.
Klicken Sie auf Bestätigen.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Updates für vordefinierte Parser überspringen
Wenn Sie die aktuellen und zukünftigen Updates für integrierte Parser überspringen möchten, erstellen Sie einen benutzerdefinierten Parser:
Klicken Sie auf der Seite Parser vergleichen auf Aktualisierung überspringen.
Das Fenster Aktualisierung überspringen und benutzerdefinierten Parser erstellen wird angezeigt.
Klicken Sie auf Benutzerdefinierten Parser erstellen.
Wählen Sie für Parser-Typ für den Einstieg entweder den aktuellen vordefinierten Parser oder die ausstehende Parser-Aktualisierung aus.
Klicken Sie auf Erstellen.
Die ausgewählte Version wird nach 20 Minuten für die Normalisierung aktiviert. Er wird in der Parserliste auf der Seite Parser als Benutzerdefiniert und Aktiv angezeigt. Die frühere vordefinierte Version wird als Vordefiniert und Inaktiv angezeigt.
Vorzeitiges Update des vordefinierten Parsers rückgängig machen
Wenn Sie das Parser-Update frühzeitig aktiviert haben, können Sie bis zur vierten Woche des Monats, in der das Update automatisch aktiviert wird, zur vorherigen Version zurückkehren.
So wechseln Sie zurück zur vorherigen Parserversion:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie zurücksetzen möchten, auf Menü.
Klicken Sie auf Ansehen.
Die Seite Vorgefertigten Parser ansehen wird angezeigt.
Klicken Sie auf Zur vorherigen Version zurückkehren.
Das Dialogfeld Auf vorherige Version zurücksetzen wird angezeigt. Klicken Sie im Dialogfeld auf Parser vergleichen, um den Unterschied zwischen der aktuellen und der vorherigen Version zu sehen.
Klicken Sie auf Bestätigen, um den Parser auf die vorherige Version zurückzusetzen.
Nach 20 Minuten wird der Parser auf die vorherige Version zurückgesetzt.
Vorgefertigte Parserversionen verwalten
Google SecOps stellt vorgefertigte Parser bereit und verwaltet sie, damit Ihre Logs richtig geparst werden. Sie können festlegen, wie neue Parserversionen in Ihrer Umgebung angewendet werden, um den Anforderungen Ihrer Organisation gerecht zu werden.
In diesem Abschnitt wird der vollständige Lebenszyklus der Parserversionsverwaltung in Google SecOps beschrieben. Dazu gehören das Aktivieren und Deaktivieren automatischer Updates, das Vergleichen der Logik zwischen Versionen, das manuelle Aktualisieren auf neue Versionen und das Zurücksetzen auf frühere Versionen.
Automatische Parser-Updates aktivieren und deaktivieren
Wenn Sie automatische Updates deaktivieren, bleibt der Parser in der aktuellen Version, bis Sie automatische Updates aktivieren oder den Parser manuell aktualisieren. So deaktivieren Sie automatische Updates:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie für den erforderlichen vordefinierten Parser auf das Menü.
Klicken Sie auf Automatische Updates deaktivieren.
Wenn automatische Updates aktiviert sind, wird der Parser mit jeder neuen stabilen Version aktualisiert. So aktivieren Sie automatische Updates:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie für den erforderlichen vordefinierten Parser auf das Menü.
Klicken Sie auf Automatische Updates aktivieren.
Parserversion manuell aktualisieren
Wenn automatische Updates deaktiviert sind, können Sie selbst entscheiden, wann Sie einen Parser auf eine neue Version aktualisieren. So können Sie Änderungen prüfen, bevor Sie sie anwenden.
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie für den gewünschten Parser auf Menü.
Wählen Sie Auf die neueste Version aktualisieren aus.
Die Seite Parser vergleichen wird angezeigt. Sie können Folgendes einsehen:
Der Codeunterschied zwischen der aktuellen und der neuen Parserversion.
Der Tab Änderungsprotokoll, auf dem Änderungen zusammengefasst werden.
Die UDM-Ausgabe für das Beispiel des Rohlogs. Wenn Sie die Ausgabe mit einem anderen Log testen möchten, klicken Sie auf Bearbeiten, um das rohe Log zu bearbeiten.
Datum und Uhrzeit der letzten Aktualisierung des Parsercodes.
Klicken Sie auf Parser aktualisieren, um ihn auf die neueste Version zu aktualisieren.
Rollback einer Parserversion durchführen
Sie können einen Parser auf die zuletzt verwendete Version zurücksetzen, unabhängig vom Status der automatischen Aktualisierung. So machen Sie ein Rollback einer Parserversion rückgängig:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie für den gewünschten Parser auf Menü.
Wählen Sie Rollback zur zuletzt verwendeten Version durchführen aus.
Die Seite Parser vergleichen wird angezeigt. Sie können Folgendes einsehen:
Der Codeunterschied zwischen der aktuellen und der zuletzt verwendeten Parserversion.
Der Tab Änderungsprotokoll, auf dem Änderungen angezeigt werden.
Die UDM-Ausgabe für das Beispiel des Rohlogs. Wenn Sie die Ausgabe mit einem anderen Log testen möchten, klicken Sie auf Bearbeiten, um das rohe Log zu bearbeiten.
Datum und Uhrzeit der letzten Aktualisierung des Parsercodes.
Klicken Sie auf Mit Rollback fortfahren, um zur zuletzt verwendeten Version zurückzukehren.
Der Parser wird auf die zuletzt verwendete Version zurückgesetzt. Wenn Sie beispielsweise ein Upgrade von Version 17.0 auf Version 24.0 durchgeführt haben, wird beim Rollback die Version 17.0 wiederhergestellt, nicht Version 23.0.
Sie können nur ein Rollback ausführen. Nachdem Sie ein Rollback durchgeführt haben, ist die Option Rollback nicht mehr verfügbar.
Supportrichtlinie für frühere Parserversionen
Nur die neueste stabile Version eines vorgefertigten Parsers erhält Fehlerkorrekturen und Verbesserungen. Wenn Sie automatische Updates deaktivieren und eine ältere Parserversion verwenden, erhält diese Version keine Patches oder Updates. Wenn Sie Probleme mit dieser früheren Version melden, wird die Korrektur in der nächsten stabilen Version enthalten sein. Sie müssen Ihren Parser manuell auf die neueste stabile Version aktualisieren, um die Korrektur zu erhalten.
Benutzerdefinierte Parser
Mit Google SecOps können Sie benutzerdefinierte Parser erstellen, wenn kein vordefinierter Parser verfügbar ist oder Sie mehr Kontrolle haben möchten. Benutzerdefinierte Parser werden zusammen mit den vordefinierten Parsern in der Parserliste angezeigt.
Zu den häufigsten Anwendungsfällen gehören:
Sie nehmen Protokolldaten für einen Protokolltyp auf, für den kein vordefinierter Parser vorhanden ist.
Gehen Sie nach einer der folgenden Methoden vor:
Erstellen Sie einen benutzerdefinierten Parser, um Updates für vordefinierte Parser zu überspringen.
Benutzerdefinierten Parser auf Grundlage von Zuordnungsanweisungen erstellen
Sie können einen benutzerdefinierten Parser erstellen, indem Sie Code schreiben, der das ursprüngliche Rohlog in einen UDM-Datensatz konvertiert.
Weitere Informationen:
- Weitere Informationen zur Struktur eines Parsers finden Sie unter Log-Parsing – Übersicht.
- Weitere Informationen zur Parser-Syntax finden Sie in der Parser-Syntaxreferenz.
Achten Sie beim Erstellen eines Parsers darauf, so viele wichtige UDM-Felder wie möglich auszufüllen.
Gehen Sie zu Einstellungen.
Rufen Sie die SIEM-Einstellungen auf.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Log Source (Logquelle) eine geeignete Logquelle aus.
Wählen Sie Nur mit Rohlogs beginnen aus, um einen neuen Parser nach Ihren Anforderungen zu erstellen.
Klicken Sie auf Erstellen.
Geben Sie den Code in das Parser Code Terminal ein. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuweisung.
Optional: Klicken Sie auf Bearbeiten, um das vorhandene Rohprotokoll oder die Kopie zu bearbeiten.
Optional: Klicken Sie auf Laden, um das aktuelle Rohlog zu laden.
Klicken Sie auf Vorschau, um die UDM-Ausgabe aufzurufen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.
In der Vorschau können Sie das Plug-in „statedump filter“ verwenden, um den internen Status eines Parsers zu validieren. Weitere Informationen finden Sie unter Daten mit dem statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.
Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers zu erstellen, bei Bedarf Änderungen vorzunehmen und den benutzerdefinierten Parser dann zu validieren.
Klicken Sie auf Senden.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Benutzerdefinierten Parser auf Grundlage eines vorhandenen Parsers erstellen
Verwenden Sie einen vorhandenen Parser als Vorlage, um einen neuen benutzerdefinierten Parser zu erstellen. Diese Methode unterstützt nur den codebasierten Ansatz. So funktionierts:
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie auf Parser erstellen.
Wählen Sie in der Liste Log Source (Logquelle) eine geeignete Logquelle aus.
Wählen Sie Mit einem vorhandenen vordefinierten Parser beginnen aus, um einen vorhandenen Parser als Grundlage für die Erstellung eines neuen benutzerdefinierten Parsers zu verwenden.
Klicken Sie auf Erstellen.
Bearbeiten Sie den Code im Parser Code Terminal. Weitere Informationen finden Sie unter Anleitung zum Erstellen einer Code-Snippet-Zuweisung.
Optional: Klicken Sie auf Bearbeiten, um das Rohprotokoll zu bearbeiten.
Optional: Klicken Sie auf Aktualisieren, um das Rohlog zu aktualisieren.
Wenn Sie Code zum Erstellen des Parsers hinzufügen, klicken Sie auf Vorschau, um die UDM-Ausgabe anzusehen. Wenn der Code falsch ist, wird eine Fehlermeldung angezeigt.
In der Vorschau können Sie das Plug-in „statedump“ verwenden, um den internen Status eines Parsers zu validieren. Weitere Informationen finden Sie unter Daten mit dem statedump-Plug-in validieren.
Klicken Sie auf Validieren, um den benutzerdefinierten Parser zu validieren.
Die Validierung kann einige Minuten dauern. Wir empfehlen daher, zuerst eine Vorschau des benutzerdefinierten Parsers aufzurufen, bei Bedarf Änderungen vorzunehmen und den benutzerdefinierten Parser dann zu validieren.
Klicken Sie auf Senden.
Der Parser wird nach 20 Minuten für den Normalisierungsprozess aktiviert.
Benutzerdefinierten Parser deaktivieren
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie neben dem Parser, den Sie deaktivieren möchten, auf Menü und wählen Sie Deaktivieren aus der Liste aus.
Das Dialogfeld Parser inaktivieren wird angezeigt.
Klicken Sie auf Inaktivieren.
Der benutzerdefinierte Parser wird deaktiviert und die aktuelle Version des vordefinierten Parsers wird nach 20 Minuten aktiviert. Der vordefinierte Parser wird jetzt zum Standardparser. Der benutzerdefinierte Parser wird deaktiviert und die aktuelle Version des vordefinierten Parsers wird nach 20 Minuten aktiviert. Der vordefinierte Parser wird jetzt zum Standardparser.
Benutzerdefinierten Parser löschen
Wählen Sie im Anwendungsmenü die Optionen Einstellungen > Parser aus.
Klicken Sie auf das Menü neben dem benutzerdefinierten Parser, den Sie löschen möchten, und wählen Sie Löschen aus der Liste aus. Hinweis: Vorgefertigte Parser können nicht gelöscht werden.
Das Dialogfeld Benutzerdefinierten Parser löschen wird angezeigt.
Klicken Sie auf Löschen.
Der benutzerdefinierte Parser wird gelöscht und die aktuelle vordefinierte Parserversion wird nach 20 Minuten aktiviert.
Erweiterung erstellen
Mit Parser-Erweiterungen lassen sich die Funktionen vorhandener vordefinierter (Standard-)Parser und benutzerdefinierter Parser flexibel erweitern. Sie ersetzen keine vordefinierten oder benutzerdefinierten Parser. Stattdessen ermöglichen sie die nahtlose Extraktion zusätzlicher Felder aus dem ursprünglichen Rohlog in den UDM-Datensatz. Eine Parsererweiterung unterscheidet sich von einem benutzerdefinierten Parser.
Informationen zum Erstellen einer Parsererweiterung finden Sie unter Parsererweiterungen verwenden.
Zugriff auf die Parserverwaltung steuern
Standardmäßig können Nutzer mit den Rollen Administrator und Bearbeiter Parser-Updates verwalten. Es können neue Berechtigungen erteilt werden, um zu steuern, wer diese Aktualisierungen ansehen und verwalten darf.
Weitere Informationen zum Verwalten von Nutzern und Gruppen oder zum Zuweisen von Rollen finden Sie im Leitfaden zur rollenbasierten Zugriffssteuerung.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten