Apache 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Apache 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서 코드는 먼저 원시 로그 메시지를 JSON으로 파싱하려고 시도합니다. 이 방법이 실패하면 일반적인 Apache 로그 형식을 기반으로 정규 표현식 (grok 패턴)을 사용하여 메시지에서 필드를 추출합니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Apache 인스턴스에 대한 권한 있는 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.
  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

추가 설치 리소스

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.
  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'APACHE'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent
    
  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Apache에서 Syslog 구성

  1. SSH를 사용하여 Ubuntu 서버에 로그인합니다.
  2. /etc/rsyslog.d/ 아래에 02-apache2.conf이라는 파일을 만듭니다.

    vim /etc/rsyslog.d/02-apache2.conf
    
  3. 아래 코드를 파일에 추가합니다.

    module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
    input(type="imfile"
            File="/var/log/apache2/access.log"
            Tag="http_access"
            Severity="info"
            Facility="local6")
    Local6.info        @<bindplane-agnet-ip>:<vindplane-agent-port>
    module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
    input(type="imfile"
            File="/var/log/apache2/error.log"
            Tag="http_error"
    
    • bindplane-agent-ip>bindplane-agent-port를 Bindplane 에이전트에 구성된 IP 주소 및 포트로 바꿉니다.
    • TCP 프로토콜을 사용하는 경우 호스트 줄에 @을 추가하여 @@<bindplane-agnet-ip>:<vindplane-agent-port>과 같이 만듭니다.
  4. RSyslog 서비스를 다시 시작합니다.

    sudo service rsyslog restart
    

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
바이트 network.received_bytes 클라이언트로부터 수신된 바이트입니다.
바이트 network.sent_bytes 클라이언트로 전송된 바이트입니다.
bytes_out network.sent_bytes 클라이언트로 전송된 바이트입니다.
bytes_received network.received_bytes 클라이언트로부터 수신된 바이트입니다.
콘텐츠 network.http.method 'Content' 필드에서 추출된 HTTP 메서드입니다.
콘텐츠 target.url '콘텐츠' 필드에서 추출된 타겟 URL입니다.
쿠키 additional.fields.value.string_value 'cookie' 필드의 값입니다.
dest_ip target.ip 타겟의 IP 주소입니다.
dest_name target.hostname 타겟의 호스트 이름입니다.
dest_port target.port 타겟의 포트입니다.
description metadata.description 이벤트의 설명으로
duration_microseconds additional.fields.value.string_value 'duration_microseconds' 필드의 값입니다.
file_full_path target.file.full_path 타겟 파일의 전체 경로입니다.
호스트 이름 target.hostname 타겟의 호스트 이름입니다.
http_content_type additional.fields.value.string_value 'http_content_type' 필드의 값입니다.
http_host principal.hostname 주 구성원의 호스트 이름입니다.
http_method network.http.method HTTP 메서드
http_referrer network.http.referral_url HTTP 리퍼러 URL입니다.
http_user_agent network.http.user_agent HTTP 사용자 에이전트입니다.
ID metadata.id 이벤트 ID입니다.
insertId metadata.product_log_id 제품 로그 ID입니다.
ip principal.ip 주체의 IP 주소입니다.
jsonPayload.cIP target.ip 타겟의 IP 주소입니다.
jsonPayload.cPort target.port 타겟의 포트입니다.
jsonPayload.csBytes network.sent_bytes 클라이언트로 전송된 바이트입니다.
jsonPayload.csMethod network.http.method HTTP 메서드
jsonPayload.csMimeType target.file.mime_type 타겟 파일의 MIME 유형입니다.
jsonPayload.csReferer network.http.referral_url HTTP 리퍼러 URL입니다.
jsonPayload.csURL target.url 타겟 URL입니다.
jsonPayload.csUserAgent network.http.user_agent HTTP 사용자 에이전트입니다.
jsonPayload.sHierarchy additional.fields.value.string_value 'sHierarchy' 필드의 값입니다.
jsonPayload.sHostname principal.hostname 주 구성원의 호스트 이름입니다.
jsonPayload.sIP principal.ip 주체의 IP 주소입니다.
jsonPayload.scBytes network.received_bytes 클라이언트로부터 수신된 바이트입니다.
jsonPayload.scHTTPStatus network.http.response_code HTTP 응답 코드입니다.
jsonPayload.scResultCode additional.fields.value.string_value 'scResultCode' 필드의 값입니다.
LastStatus network.http.response_code HTTP 응답 코드입니다.
log_level security_result.severity 보안 결과의 심각도입니다.
logName security_result.category_details 보안 결과의 카테고리 세부정보입니다.
method network.http.method HTTP 메서드
pid principal.process.pid 주체의 프로세스 ID입니다.
포트 target.port 타겟의 포트입니다.
proto network.application_protocol 애플리케이션 프로토콜입니다.
리퍼러 network.http.referral_url HTTP 리퍼러 URL입니다.
RemoteHost principal.ip 주체의 IP 주소입니다.
RemoteUser principal.user.userid 주 구성원의 사용자 ID입니다.
resource.labels.instance_id target.resource.product_object_id 타겟 리소스의 제품 객체 ID입니다.
resource.labels.project_id target.resource.attribute.labels.value 'project_id' 라벨의 값입니다.
resource.labels.zone target.resource.attribute.cloud.availability_zone 타겟 리소스의 가용성 영역입니다.
resource.type target.resource.resource_type 타겟의 리소스 유형입니다.
응답 network.http.response_code HTTP 응답 코드입니다.
SizeBytes network.received_bytes 클라이언트로부터 수신된 바이트입니다.
src_ip principal.ip 주체의 IP 주소입니다.
src_port principal.port 주 구성원의 포트입니다.
ssl_cipher network.tls.cipher TLS 암호화입니다.
ssl_version network.tls.version_protocol TLS 버전 프로토콜입니다.
상태 network.http.response_code HTTP 응답 코드입니다.
target target.url 타겟 URL입니다.
target_ip target.ip 타겟의 IP 주소입니다.
target_port target.port 타겟의 포트입니다.
시간 metadata.event_timestamp 이벤트 타임스탬프입니다.
uri_path target.process.file.full_path 타겟 파일의 전체 경로입니다.
사용자 principal.user.userid 주 구성원의 사용자 ID입니다.
useragent network.http.user_agent HTTP 사용자 에이전트입니다.
version_protocol network.tls.version_protocol TLS 버전 프로토콜입니다.
작업자 이름 principal.hostname 주 구성원의 호스트 이름입니다.
x_forwarded_for 'X-Forwarded-For' 헤더의 값입니다.
metadata.log_type 값은 파서 코드에서 'APACHE'로 설정됩니다.
metadata.product_name 이 값은 파서 코드에서 'Apache Web Server'로 설정됩니다.
metadata.vendor_name 값은 파서 코드에서 'Apache'로 설정됩니다.
metadata.event_type 값은 주 구성원 및 타겟 정보의 존재 여부에 따라 결정됩니다. 주 구성원과 대상이 모두 있는 경우 이벤트 유형은 'NETWORK_HTTP'로 설정됩니다. 주 구성원만 있는 경우 이벤트 유형이 'STATUS_UPDATE'로 설정됩니다. 그렇지 않으면 'GENERIC_EVENT'로 설정됩니다.
additional.fields.key 키는 필드에 따라 파서 코드에서 'keep_alive', 'duration_microseconds', 'cookie', 'http_content_type', 'sHierarchy', 'scResultCode'로 설정됩니다.
target.port 'proto' 필드가 'HTTP'인 경우 포트는 80으로 설정됩니다. 'proto' 필드가 'HTTPS'인 경우 포트는 443으로 설정됩니다. 'proto' 필드가 'FTP'인 경우 포트는 21로 설정됩니다.
target.resource.attribute.labels.key 키는 파서 코드에서 'project_id'로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.