SURICATA_EVE ログを収集する
このドキュメントでは、Google セキュリティ オペレーションで SURICATA_EVE ログを表示する方法について説明します。
次のデプロイ アーキテクチャ図は、Google セキュリティ オペレーションにログを送信するように SURICATA_EVE と Logstash を構成する方法を示しています。
- Suricata は、データを
eve.json
ファイルに保存します。 - Logstash は
eve.json
ファイルを監視し、新しいログを syslog サーバーに転送します。Syslog サーバーは、同じ VM または別の VM 上のフォワーダーになります。 - Syslog サーバーは、Google セキュリティ オペレーション フォワーダーを使用して、特定のポートで新しいログをリッスンします。
- Google Security Operations フォワーダーは、ログを Google Security Operations インスタンスに転送します。
始める前に
Identity and Access Management(IAM)を使用して、組織とリソースのアクセス制御が設定されていることを確認します。アクセス制御の詳細については、IAM を使用した組織のアクセス制御をご覧ください。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Suricata と関連ソフトウェアを構成する
内部ロードバランサを作成する。
パケット ミラーリングを設定する。
Suricata をインストールし、アラートが
eve.json
ファイルに保存されていることを確認します。eve.json
ファイルの場所を確認します。AutoMLicata サーバーに Logstash をインストールします。
Logstash 構成ファイル(
/etc/logstash/conf.d/logstash.conf
)を編集します。a. 以下のコードを追加:
SYSLOG_SERVER
を syslog サーバーのロケーションに変更します。- ポート番号(この例では
10520
)が Google Security Operations フォワーダー構成のポート番号と一致していることを確認します。
input { file { path => "/var/log/suricata/eve.json" start_position => "end" sincedb_path => "/dev/null" } } output { udp { host => "SYSLOG_SERVER" port => 10520 codec => line { format => "%{message}"} } }
b.
output.udp.host
IP アドレスを変更します。Google Security Operations フォワーダーが Syslog サーバーとは異なるシステム上にある場合は、Syslog サーバーの IP アドレスを使用します。
Google Security Operations フォワーダーが Syslog サーバーと同じシステム上にある場合は、内部 IP アドレスを使用します。
syslog ヘッダーを削除する構成で、rsyslog などの別のログ フォワーダー ソリューションを使用することもできます。
SURICATA_EVE ログを取り込む
Google Cloud ログを Google Security Operations に取り込むの手順に従います。
SURICATA_EVE ログを取り込むときに問題が発生した場合は、Google セキュリティ運用サポートまでお問い合わせください。
Google Security Operations でのデータ取り込みの詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。