SURICATA_EVE-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie SURICATA_EVE-Protokolle in Google Security Operations aufrufen können.
Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie SURICATA_EVE und Logstash so konfiguriert werden, dass Protokolle an Google Security Operations gesendet werden.
- Suricata speichert Daten in einer
eve.json
-Datei. - Logstash beobachtet die Datei
eve.json
und leitet neue Logs an einen Syslog-Server weiter. Der Syslog-Server kann ein Forwarder auf derselben VM oder auf einer separaten VM sein. - Der Syslog-Server verwendet den Google Security Operations-Forwarder, um neue Logs über einen bestimmten Port zu überwachen.
- Der Google Security Operations-Forwarder leitet die Protokolle an eine Google Security Operations-Instanz weiter.
Hinweise
Prüfen Sie, ob Sie die Zugriffssteuerung für Ihre Organisation und Ressourcen mithilfe von Identity and Access Management (IAM) eingerichtet haben. Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung für Organisationen mit IAM.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Suricata und zugehörige Software konfigurieren
Erstellen Sie einen internen Netzwerk-Load-Balancer.
Richten Sie die Paketspiegelung ein.
Installieren Sie Suricata und prüfen Sie, ob Benachrichtigungen in der Datei
eve.json
gespeichert werden. Achten Sie darauf, wo sich die Dateieve.json
befindet.Installieren Sie Logstash auf dem Suricata-Server.
Bearbeiten Sie die Logstash-Konfigurationsdatei (
/etc/logstash/conf.d/logstash.conf
):a. Fügen Sie den folgenden Code hinzu:
- Ändern Sie
SYSLOG_SERVER
in den Standort Ihres Syslog-Servers. - Achten Sie darauf, dass die Portnummer (in diesem Beispiel
10520
) mit der Portnummer in der Konfiguration des Google Security Operations-Forwarders übereinstimmt.
input { file { path => "/var/log/suricata/eve.json" start_position => "end" sincedb_path => "/dev/null" } } output { udp { host => "SYSLOG_SERVER" port => 10520 codec => line { format => "%{message}"} } }
b. Ändern Sie die
output.udp.host
-IP-Adresse:Wenn sich der Forwarder von Google Security Operations auf einem anderen System als der Syslog-Server befindet, verwenden Sie die IP-Adresse des Syslog-Servers.
Wenn sich der Google Security Operations-Forwarder auf demselben System wie der Syslog-Server befindet, verwenden Sie eine interne IP-Adresse.
- Ändern Sie
Sie können eine andere Logweiterleitungslösung wie rsyslog mit einer Konfiguration verwenden, bei der der Syslog-Header entfernt wird.
SURICATA_EVE-Logs aufnehmen
Folgen Sie der Anleitung unter Google Cloud-Logs in Google Security Operations aufnehmen.
Falls bei der Aufnahme von SURICATA_EVE-Protokollen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Weitere Informationen dazu, wie Google Security Operations Daten aufnimmt, finden Sie unter Datenaufnahme in Google Security Operations – Übersicht.