Raccogli i log SURICATA_EVE
Questo documento descrive come visualizzare i log SURICATA_EVE in Chronicle.
Il seguente diagramma dell'architettura di deployment mostra come sono configurati SURICATA_EVE e Logstash per inviare i log a Chronicle.
- Suricata salva i dati in un file
eve.json
. - Logstash controlla il file
eve.json
e inoltra i nuovi log a un server SysLog. Il server syslog può essere un forwardinger sulla stessa VM o su una VM separata. - Il server syslog utilizza il server di forwarding Chronicle per esaminare i nuovi log su una porta specifica.
- Il forwarding di Chronicle inoltra i log a un'istanza Chronicle.
Prima di iniziare
Assicurati di aver configurato controllo dell'accesso per la tua organizzazione e le tue risorse utilizzando Identity and Access Management (IAM). Per ulteriori informazioni sul controllo dell'accesso dell'accesso, consulta Controllo dell'accesso per le organizzazioni con IAM.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.
Configura Suricata e il software correlato
Configurare il Mirroring pacchetto.
Installa Suricata e verifica che gli avvisi vengano salvati nel file
eve.json
. Nota la posizione del fileeve.json
.Installa Logstash sul server Suricata.
Modifica il file di configurazione Logstash (
/etc/logstash/conf.d/logstash.conf
):a. Aggiungi il seguente codice:
- Modifica
SYSLOG_SERVER
nella località del server syslog. - Assicurati che il numero di porta (in questo esempio
10520
) corrisponda al numero di porta nella configurazione del forwarding di Chronicle.
input { file { path => "/var/log/suricata/eve.json" start_position => "end" sincedb_path => "/dev/null" } } output { udp { host => "SYSLOG_SERVER" port => 10520 codec => line { format => "%{message}"} } }
b. Modifica l'indirizzo IP
output.udp.host
:Se il forwarding di Chronicle si trova su un sistema diverso dal server syslog, utilizza l'indirizzo IP del server syslog.
Se il forwarding di Chronicle si trova nello stesso sistema del server syslog, utilizza un indirizzo IP interno.
- Modifica
Puoi utilizzare un'altra soluzione di forwarding dei log, ad esempio rsyslog, con una configurazione che rimuova l'intestazione syslog.
Importa i log SURICATA_EVE
Segui le istruzioni in Importare i log di Google Cloud in Chronicle.
Se riscontri problemi durante l'importazione dei log SURICATA_EVE, contatta l'assistenza Chronicle.
Per saperne di più su come Chronicle importa i dati, consulta la panoramica sull'importazione dei dati in Chronicle.