收集 Suricata Eve 日志

支持的平台:

本文档介绍了如何在 Google Security Operations 中查看 SURICATA_EVE 日志。

下图展示了如何配置 SURICATA_EVE 和 Logstash 以将日志发送到 Google 安全运营团队。

部署架构

  1. Suricata 会将数据保存到 eve.json 文件中。
  2. Logstash 会监控 eve.json 文件,并将新日志转发到 syslog 服务器。syslog 服务器可以是同一虚拟机上的转发器,也可以是单独的虚拟机上的转发器。
  3. syslog 服务器使用 Google Security Operations 转发器通过特定端口监听新日志。
  4. Google Security Operations 转发器会将日志转发到 Google Security Operations 实例。

准备工作

  • 确保您已使用 Identity and Access Management (IAM) 为您的组织和资源设置了访问权限控制。如需详细了解访问权限控制,请参阅使用 IAM 对组织进行访问权限控制

  • 确保部署架构中的所有系统都采用世界协调时间 (UTC) 时区进行配置。

  1. 创建内部网络负载均衡器

  2. 设置数据包镜像

  3. 安装 Suricata,并确认提醒已保存到 eve.json 文件中。记下 eve.json 文件的位置。

  4. 在 Suricata 服务器上安装 Logstash

  5. 修改 Logstash 配置文件 (/etc/logstash/conf.d/logstash.conf):

    a. 添加以下代码:

    • SYSLOG_SERVER 更改为 syslog 服务器的位置。
    • 确保端口号(在此示例中为 10520)与 Google 安全运营转发器配置中的端口号匹配。
    input {
      file {
          path => "/var/log/suricata/eve.json"
           start_position => "end"
           sincedb_path => "/dev/null"
       }
    }
    output {
       udp {
           host => "SYSLOG_SERVER"
           port => 10520
           codec => line { format => "%{message}"}
       }
    }

    b. 更改 output.udp.host IP 地址:

    • 如果 Google 安全运营转发器位于与 syslog 服务器不同的系统上,请使用 syslog 服务器的 IP 地址。

    • 如果 Google 安全运营转发器与 syslog 服务器位于同一系统上,请使用内部 IP 地址。

您可以使用其他日志转发器解决方案(例如 rsyslog),并使用移除 syslog 标头的配置。

提取 SURICATA_EVE 日志

请按照将 Google Cloud 日志注入到 Google Security Operations 中的说明操作。

如果您在提取 SURICATA_EVE 日志时遇到问题,请与 Google Security Operations 支持团队联系

如需详细了解 Google Security Operations 如何提取数据,请参阅 Google Security Operations 数据提取概览