Raccogli i log SURICATA_EVE

Questo documento descrive come visualizzare i log SURICATA_EVE in Chronicle.

Il seguente diagramma dell'architettura di deployment mostra come sono configurati SURICATA_EVE e Logstash per inviare i log a Chronicle.

1. Suricata salva i dati in un file eve.json.
2. Logstash controlla il file eve.json e inoltra i nuovi log a un server SysLog. Il server syslog può essere un forwardinger sulla stessa VM o su una VM separata.
3. Il server syslog utilizza il server di forwarding Chronicle per esaminare i nuovi log su una porta specifica.
4. Il forwarding di Chronicle inoltra i log a un'istanza Chronicle.

Prima di iniziare

• Assicurati di aver configurato controllo dell'accesso per la tua organizzazione e le tue risorse utilizzando Identity and Access Management (IAM). Per ulteriori informazioni sul controllo dell'accesso dell'accesso, consulta Controllo dell'accesso per le organizzazioni con IAM.

• Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.

Configura Suricata e il software correlato

1. Crea un bilanciatore del carico di rete interno.

2. Configurare il Mirroring pacchetto.

3. Installa Suricata e verifica che gli avvisi vengano salvati nel file eve.json. Nota la posizione del file eve.json.

4. Installa Logstash sul server Suricata.

5. Modifica il file di configurazione Logstash (/etc/logstash/conf.d/logstash.conf):

   a. Aggiungi il seguente codice:

   • Modifica SYSLOG_SERVER nella località del server syslog.
   • Assicurati che il numero di porta (in questo esempio 10520) corrisponda al numero di porta nella configurazione del forwarding di Chronicle.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Modifica l'indirizzo IP output.udp.host:

   • Se il forwarding di Chronicle si trova su un sistema diverso dal server syslog, utilizza l'indirizzo IP del server syslog.

   • Se il forwarding di Chronicle si trova nello stesso sistema del server syslog, utilizza un indirizzo IP interno.

Puoi utilizzare un'altra soluzione di forwarding dei log, ad esempio rsyslog, con una configurazione che rimuova l'intestazione syslog.

Importa i log SURICATA_EVE

Segui le istruzioni in Importare i log di Google Cloud in Chronicle.

Se riscontri problemi durante l'importazione dei log SURICATA_EVE, contatta l'assistenza Chronicle.

Per saperne di più su come Chronicle importa i dati, consulta la panoramica sull'importazione dei dati in Chronicle.