此页面由 Cloud Translation API 翻译。

收集 Zscaler 隧道日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何通过设置 Google Security Operations Feed 来导出 Zscaler Tunnel 日志，以及日志字段如何映射到 Google SecOps Unified Data Model (UDM) 字段。

如需了解详情，请参阅将数据提取到 Google SecOps 概览。

典型的部署包括 Zscaler Tunnel 和配置为将日志发送到 Google SecOps 的 Google SecOps Webhook Feed。每个客户部署都可能不同，并且可能更复杂。

该部署包含以下组件：

Zscaler 隧道：您要从中收集日志的平台。
Google SecOps Feed：Google SecOps Feed 会从 Zscaler Tunnel 提取日志并将日志写入 Google SecOps。
Google SecOps：保留和分析日志。

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 ZSCALER_TUNNEL 标签的解析器。

准备工作

确保您有权访问 Zscaler Internet Access 控制台。如需了解详情，请参阅 Secure Internet and SaaS Access ZIA Help。
确保您使用的是 Zscaler Tunnel 1.0 版或 2.0 版。
确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
确保您拥有在 Google SecOps 中完成 Feed 设置所需的 API 密钥。如需了解详情，请参阅设置 API 密钥。

在 Google SecOps 中设置提取 Feed，以提取 Zscaler 隧道日志

依次前往 SIEM 设置 > Feed。
点击新增。
在 Feed 名称字段中，输入 Feed 的名称（例如 Zscaler 隧道日志）。
选择 Webhook 作为来源类型。
选择 Zscaler Tunnel 作为日志类型。
点击下一步。
可选：为以下输入参数指定值：
1. 分隔符：用于分隔日志行（如果不使用分隔符，请留空）。
2. 资源命名空间：资源命名空间。
3. 提取标签：要应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置，然后点击提交。
点击生成 Secret 密钥以生成用于对此 Feed 进行身份验证的 Secret 密钥。

设置 Zscaler 隧道

在 Zscaler Internet Access 控制台中，依次选择管理 > Nanolog 流式传输服务 > Cloud NSS Feed。
点击添加 Cloud NSS Feed。
在Feed 名称字段中输入 Feed 的名称。
在 NSS 类型中，选择 NSS for Tunnel。
从状态列表中选择状态，以启用或停用 NSS Feed。
将 SIEM 速率下拉菜单中的值保留为不限。如需因许可或其他限制而抑制输出流，请更改此值。
在 SIEM 类型列表中，选择 Other（其他）。
在 OAuth 2.0 Authentication（OAuth 2.0 身份验证）列表中，选择 Disabled（已停用）。
在 Max Batch Size（最大批量大小）中，输入单个 HTTP 请求载荷的大小限制（例如 512 KB），以遵循 SIEM 的最佳实践。
在 API 网址中输入 Chronicle API 端点的 HTTPS 网址，格式如下：
```
https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs
```
- CHRONICLE_REGION：Google SecOps 实例的托管区域（例如 US）。
- GOOGLE_PROJECT_NUMBER：自助创建项目的项目编号（请从 C4 获取）。
- LOCATION：Google SecOps 区域（例如 US）。
- CUSTOMER_ID：Google SecOps 客户 ID（请从 C4 获取）。
- FEED_ID：新创建的 webhook 的 Feed 界面上显示的 Feed ID。
API 网址示例：
```
https://us-chronicle.googleapis.com/v1alpha/projects/12345678910/locations/US/instances/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/feeds/yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy:importPushLogs
```
点击添加 HTTP 标头，以添加包含键和值的更多 HTTP 标头。

例如：
- 键：X-goog-api-key
- 值：基于 Google Cloud BYOP 的 API 凭据生成的 API 密钥
在日志类型列表中，选择隧道。
在 Feed 输出类型列表中，选择 JSON。
将Feed 转义字符设置为 , \ "。
如需向 Feed 输出格式添加新字段，请在 Feed 输出类型列表中选择自定义。

复制并粘贴Feed 输出格式，然后添加新字段。确保键名称与实际字段名称一致。

以下是默认的Feed 输出格式：

对于 IKE 第 1 阶段：

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","destinationport":"%d{dstport}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","spi_in":"%lu{spi_in}","spi_out":"%lu{spi_out}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","recordid":"%d{recordid}"\}\}

对于 IKE 第 2 阶段：

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"IPSEC IKEV %d{ikeversion}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","sourceportstart":"%d{srcportstart}","destinationportstart":"%d{destportstart}","srcipstart":"%s{srcipstart}","srcipend":"%s{srcipend}","destinationipstart":"%s{destipstart}","destinationipend":"%s{destipend}","lifetime":"%d{lifetime}","ikeversion":"%d{ikeversion}","lifebytes":"%d{lifebytes}","spi":"%d{spi}","algo":"%s{algo}","authentication":"%s{authentication}","authtype":"%s{authtype}","protocol":"%s{protocol}","tunnelprotocol":"%s{tunnelprotocol}","policydirection":"%s{policydirection}","recordid":"%d{recordid}"\}\}

对于隧道事件：

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","event":"%s{event}","eventreason":"%s{eventreason}","recordid":"%d{recordid}"\}\}

例如：

\{ "sourcetype" : "zscalernss-tunnel", "event" : \{"datetime":"%s{datetime}","Recordtype":"%s{tunnelactionname}","tunneltype":"%s{tunneltype}","user":"%s{vpncredentialname}","location":"%s{elocationname}","sourceip":"%s{sourceip}","destinationip":"%s{destvip}","sourceport":"%d{srcport}","txbytes":"%lu{txbytes}","rxbytes":"%lu{rxbytes}","dpdrec":"%d{dpdrec}","recordid":"%d{recordid}"\}\}

在时区列表中，为输出文件中的 Time 字段选择时区。默认情况下，时区会设为贵组织的时区。
查看已配置的设置。
点击保存以测试连接。如果连接成功，系统会显示一个绿色对勾标记，以及消息 Test Connectivity Successful: OK (200)。

如需详细了解 Google SecOps Feed，请参阅 Google SecOps Feed 文档。如需了解每种 Feed 类型的要求，请参阅按类型配置 Feed。

如果您在创建 Feed 时遇到问题，请与 Google SecOps 支持团队联系。

UDM 映射表

字段映射参考：ZSCALER_TUNNEL

下表列出了 ZSCALER_TUNNEL 日志类型的日志字段及其对应的 UDM 字段。

Log field	UDM mapping	Logic
`algo`	`additional.fields[algo]`
`authtype`	`additional.fields[authtype]`
`authentication`	`additional.fields[authentication]`
`dd`	`additional.fields[dd]`
`day`	`additional.fields[day]`
`destinationportstart`	`additional.fields[destinationportstart]`
`dpdrec`	`additional.fields[dpdrec]`
`eventreason`	`additional.fields[eventreason]`
`hh`	`additional.fields[hh]`
`ikeversion`	`additional.fields[ikeversion]`
`lifebytes`	`additional.fields[lifebytes]`
`mm`	`additional.fields[mm]`
`mon`	`additional.fields[mon]`
`mth`	`additional.fields[mth]`
`olocationname`	`additional.fields[olocationname]`
`ovpncredentialname`	`additional.fields[ovpncredentialname]`
`ss`	`additional.fields[ss]`
`sourcetype`	`additional.fields[sourcetype]`
`spi_in`	`additional.fields[spi_in]`
`spi_out`	`additional.fields[spi_out]`
`sourceportstart`	`additional.fields[sourceportstart]`
`tz`	`additional.fields[tz]`
`tunnelprotocol`	`additional.fields[tunnelprotocol]`
`tunneltype`	`additional.fields[tunneltype]`
`vendorname`	`additional.fields[vendorname]`
`yyyy`	`additional.fields[yyyy]`
`spi`	`additional.fields[spi]`
`event`	`metadata.description`
`datetime`	`metadata.event_timestamp`
	`metadata.event_type`	If (the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty) and (the `destinationipstart` log field value is not empty or the `destinationip` log field value is not empty or the `destinationipend` log field value is not empty), then the `metadata.event_type` UDM field is set to `NETWORK_CONNECTION`. Else, if the `srcipstart` log field value is not empty or the `srcipend` log field value is not empty or the `sourceip` log field value is not empty, then the `metadata.event_type` UDM field is set to `STATUS_UPDATE`. Else, the `metadata.event_type` UDM field is set to `GENERIC_EVENT`.
`Recordtype`	`metadata.product_event_type`
`recordid`	`metadata.product_log_id`
	`metadata.product_name`	The `metadata.product_name` UDM field is set to `ZSCALER_TUNNEL`.
	`metadata.vendor_name`	The `metadata.vendor_name` UDM field is set to `ZSCALER`.
	`network.direction`	If the `policydirection` log field value matches the regular expression pattern `(?i)Inbound`, then the `network.direction` UDM field is set to `INBOUND`. Else, if the `policydirection` log field value matches the regular expression pattern `(?i)Outbound`, then the `network.direction` UDM field is set to `OUTBOUND`.
`protocol`	`network.ip_protocol`	If the `protocol` log field value contain one of the following values, then the `protocol` log field is mapped to the `network.ip_protocol` UDM field. `TCP` `EIGRP` `ESP` `ETHERIP` `GRE` `ICMP` `IGMP` `IP6IN4` `PIM` `UDP` `VRRP`
`rxbytes`	`network.received_bytes`
`rxpackets`	`network.received_packets`
`txbytes`	`network.sent_bytes`
`txpackets`	`network.sent_packets`
`lifetime`	`network.session_duration.seconds`
`srcipstart`	`principal.ip`
`sourceip`	`principal.ip`
`srcipend`	`principal.ip`
`location`	`principal.location.name`
`sourceport`	`principal.port`
`user`	`principal.user.userid`
`destinationipstart`	`target.ip`
`destinationip`	`target.ip`
`destinationipend'`	`target.ip`
`destinationport`	`target.port`