Edgio WAF のログを収集する

以下でサポートされています。

このガイドでは、Google Cloud Storage を使用して Edgio ウェブ アプリケーション ファイアウォール(WAF)ログを Google Security Operations に取り込む方法について説明します。Edgio のリアルタイム ログ配信(RTLD)サービスは、圧縮された WAF ログデータを Cloud Storage バケットに自動的に配信します。Google SecOps は、このデータを分析とモニタリングのために取り込むことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス。
  • Google Cloud Platform への特権アクセス。
  • Edgio Console への特権アクセス。
  • WAF が有効になっているアクティブな Edgio プロパティ。

Google Cloud Storage バケットを構成する

  1. Google Cloud コンソールにログインします。
  2. [Cloud Storage> バケット] に移動します。
  3. [作成] をクリックします。
  4. 次の構成の詳細を入力します。
    • 名前: 一意のバケット名(edgio-waf-logs など)を入力します。
    • ロケーション タイプ: 要件に基づいて、[リージョン] または [マルチリージョン] を選択します。
    • ロケーション: Edgio のデプロイに最も近いロケーションを選択します。
    • ストレージ クラス: Standard を選択します。
    • アクセス制御: [均一] を選択します。
    • 暗号化: [Google-owned and Google-managed encryption key] を選択します。
  5. [作成] をクリックします。

Edgio のバケット権限を構成する

  1. Google Cloud コンソールで、新しく作成したバケットに移動します。
  2. [権限] をクリックします。
  3. [アクセス権を付与] をクリックします。
  4. [新しいプリンシパル] フィールドに「real-time-log-delivery@durable-firefly-334516.iam.gserviceaccount.com」を追加します。
  5. [ロールを選択] リストで、[Storage オブジェクト作成者] を選択します。
  6. [保存] をクリックします。

Edgio リアルタイム ログ配信を構成する

  1. Edgio Console にログインします。
  2. プライベート スペースまたは組織を選択します。
  3. 必要なプロパティを選択します。
  4. 左側のペインで、必要な環境を選択します。
  5. 左側のペインで [リアルタイム ログ配信] をクリックします。
  6. [+ 新しいログ配信プロファイル] をクリックします。
  7. ログタイプとして [WAF] を選択します。
  8. 次の構成の詳細を入力します。
    • 名前: わかりやすい名前を入力します(例: Google SecOps WAF Logs)。
    • 宛先: [Google Cloud Storage] を選択します。
    • バケット: GCS バケット名(例: edgio-waf-logs)を入力します。
    • 接頭辞: 省略可。ログの編成の接頭辞を入力します(例: waf/)。
    • ログ形式: [JSON](デフォルト)を選択します。
    • ログをダウンサンプリングする: ログをすべて配信する場合は、チェックを外したままにします。
  9. [フィールド] セクションで、すべての必須フィールドが選択されていることを確認します。主なフィールドは次のとおりです。
    • account_number
    • action_type
    • client_city
    • client_country_code
    • client_ip
    • client_tls_ja3_md5
    • ホスト
    • リファラー
    • rule_message
    • rule_tags
    • server_port
    • sub_events
    • sub_events_count
    • timestamp
    • URL
    • user_agent
    • uuid
    • waf_instance_name
    • waf_profile_name
    • waf_profile_type
  10. [保存] をクリックします。

Edgio WAF のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: Edgio WAF Logs)。
  4. [ソースタイプ] として [Google Cloud Storage V2] を選択します。
  5. [ログタイプ] として [Edgio WAF] を選択します。
  6. [サービス アカウントを取得する] をクリックします。
  7. 表示されたサービス アカウントのメールアドレスをコピーします。
  8. [次へ] をクリックします。
  9. 次の入力パラメータの値を指定します。
    • Storage Bucket URI: Cloud Storage バケット URI(形式: gs://edgio-waf-logs/waf/)を入力します。
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  10. [次へ] をクリックします。
  11. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

Google SecOps サービス アカウントに権限を付与する

  1. Google Cloud コンソールに戻ります。
  2. Cloud Storage バケットに移動します。
  3. [権限] をクリックします。
  4. [アクセス権を付与] をクリックします。
  5. [新しいプリンシパル] フィールドに、Google SecOps からコピーしたサービス アカウントのメールアドレスを貼り付けます。
  6. [ロールを選択] リストで、[Storage オブジェクト閲覧者] を選択します。
  7. フィード構成で削除オプションを選択した場合は、ストレージ オブジェクト管理者も付与します。
  8. [保存] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。