Mengumpulkan log SURICATA_EVE

Dokumen ini menjelaskan cara melihat log SURICATA_EVE di Chronicle.

Diagram arsitektur deployment berikut menunjukkan cara SURICATA_EVE dan Logstash dikonfigurasi untuk mengirim log ke Chronicle.

1. Suricata menyimpan data ke file eve.json.
2. Logstash memantau file eve.json dan meneruskan log baru ke server syslog. Server syslog dapat menjadi forwarder di VM yang sama atau di VM terpisah.
3. Server syslog menggunakan penerusan Chronicle untuk memproses log baru melalui port tertentu.
4. Forwarder Chronicle meneruskan log ke instance Chronicle.

Sebelum memulai

• Pastikan Anda telah menyiapkan kontrol akses untuk organisasi dan resource Anda menggunakan Identity and Access Management (IAM). Untuk mengetahui informasi lebih lanjut tentang kontrol akses, baca bagian Kontrol akses untuk organisasi dengan IAM.

• Pastikan semua sistem pada arsitektur deployment dikonfigurasi dalam zona waktu UTC.

Mengonfigurasi Suricata dan software terkait

1. Buat load balancer jaringan internal.

2. Menyiapkan pencerminan paket.

3. Instal Suricata dan pastikan bahwa pemberitahuan disimpan ke file eve.json. Perhatikan tempat file eve.json berada.

4. Instal Logstash di server Suricata.

5. Edit file konfigurasi Logstash (/etc/logstash/conf.d/logstash.conf):

   a. Tambahkan kode berikut:

   • Ubah SYSLOG_SERVER ke lokasi server syslog Anda.
   • Pastikan nomor port (dalam contoh ini, 10520) cocok dengan nomor port dalam konfigurasi penerus Chronicle.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Ubah alamat IP output.udp.host:

   • Jika penerusan Chronicle berada di sistem yang berbeda dengan server syslog, gunakan alamat IP server syslog.

   • Jika penerus Chronicle berada di sistem yang sama dengan server syslog, gunakan alamat IP internal.

Anda dapat menggunakan solusi penerusan log lainnya, seperti rsyslog, dengan konfigurasi yang menghapus header syslog.

Menyerap log SURICATA_EVE

Ikuti petunjuk di Menyerap log Google Cloud ke Chronicle.

Jika mengalami masalah saat menyerap log SURICATA_EVE, hubungi dukungan Chronicle.

Untuk mengetahui informasi selengkapnya tentang cara Chronicle menyerap data, lihat Ringkasan penyerapan data ke Chronicle.