收集 SURICATA_EVE 日志

本文档介绍了如何在 Google Security Operations 中查看 SURICATA_EVE 日志。

以下部署架构图显示了如何将 SURICATA_EVE 和 Logstash 配置为向 Google Security Operations 发送日志。

部署架构

  1. Suricata 会将数据保存到 eve.json 文件中。
  2. Logstash 会监控 eve.json 文件,并将新日志转发到 Syslog 服务器。syslog 服务器可以是同一虚拟机上的转发器,也可以是单独的虚拟机上的转发器。
  3. syslog 服务器使用 Google Security Operations 转发器通过特定端口监听新日志。
  4. Google Security Operations 转发器会将日志转发到 Google Security Operations 实例。

准备工作

  • 确保您已使用 Identity and Access Management (IAM) 为组织和资源设置了访问权限控制。如需详细了解访问权限控制,请参阅使用 IAM 对组织进行访问权限控制

  • 确保部署架构中的所有系统都按照 UTC 时区进行配置。

  1. 创建内部网络负载均衡器

  2. 设置数据包镜像

  3. 安装 Suricata,并确认提醒已保存到 eve.json 文件中。记下 eve.json 文件的位置。

  4. 在 Suricata 服务器上安装 Logstash

  5. 修改 Logstash 配置文件 (/etc/logstash/conf.d/logstash.conf):

    a. 添加以下代码:

    • SYSLOG_SERVER 更改为 syslog 服务器的位置。
    • 请确保端口号(在此示例中为 10520)与 Google Security Operations 转发器配置中的端口号相匹配。
    input {
      file {
          path => "/var/log/suricata/eve.json"
           start_position => "end"
           sincedb_path => "/dev/null"
       }
    }
    output {
       udp {
           host => "SYSLOG_SERVER"
           port => 10520
           codec => line { format => "%{message}"}
       }
    }

    b. 更改 output.udp.host IP 地址:

    • 如果 Google Security Operations 转发器与 Syslog 服务器位于不同的系统上,请使用 Syslog 服务器的 IP 地址。

    • 如果 Google Security Operations 转发器与 Syslog 服务器位于同一系统上,请使用内部 IP 地址。

您可以使用其他日志转发器解决方案(例如 rsyslog),其配置会移除 syslog 标头。

注入 SURICATA_EVE 日志

按照将 Google Cloud 日志注入 Google Security Operations 中的说明进行操作。

如果您在提取 SURICATA_EVE 日志时遇到问题,请与 Google Security Operations 支持团队联系

如需详细了解 Google Security Operations 如何注入数据,请参阅将数据注入到 Google Security Operations 概览