Raccogli i log di Suricata Eve

Supportato in:

Questo documento descrive come visualizzare i log SURICATA_EVE in Google Security Operations.

Il seguente diagramma dell'architettura di deployment mostra come SURICATA_EVE e Logstash sono configurati per inviare i log a Google Security Operations.

Architettura di deployment

  1. Suricata salva i dati in un file eve.json.
  2. Logstash monitora il file eve.json e inoltra i nuovi log a un server syslog. Il server syslog può essere un forwarder sulla stessa VM o su una VM separata.
  3. Il server syslog utilizza il forwarder di Google Security Operations per ascoltare i nuovi log su una porta specifica.
  4. Il forwarder di Google Security Operations inoltra i log a un'istanza Google Security Operations.

Prima di iniziare

  • Assicurati di aver configurato il controllo dell'accesso per la tua organizzazione e le tue risorse utilizzando Identity and Access Management (IAM). Per ulteriori informazioni sul controllo dell'accesso, consulta Controllo dell'accesso per le organizzazioni con IAM.

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

  1. Crea un bilanciatore del carico di rete interno.

  2. Configura il mirroring pacchetto.

  3. Installa Suricata e verifica che gli avvisi vengano salvati nel file eve.json. Prendi nota della posizione del file eve.json.

  4. Installa Logstash sul server Suricata.

  5. Modifica il file di configurazione di Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Aggiungi il seguente codice:

    • Sostituisci SYSLOG_SERVER con la posizione del server syslog.
    • Assicurati che il numero di porta (in questo esempio, 10520) corrisponda a quello nella configurazione del forwarder di Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Modifica l'indirizzo IP output.udp.host:

    • Se il forwarder di Google Security Operations si trova su un sistema diverso dal server syslog, utilizza l'indirizzo IP del server syslog.

    • Se il forwarder di Google Security Operations si trova sullo stesso sistema del server syslog, utilizza un indirizzo IP interno.

Puoi utilizzare un'altra soluzione di inoltro dei log, come rsyslog, con una configurazione che rimuove l'intestazione syslog.

Importa i log SURICATA_EVE

Segui le istruzioni riportate in Importa Google Cloud i log in Google Security Operations.

Se riscontri problemi durante l'importazione dei log SURICATA_EVE, contatta l'assistenza di Google Security Operations.

Per ulteriori informazioni su come Google Security Operations importa i dati, consulta la Panoramica dell'importazione dei dati in Google Security Operations.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.