Mengumpulkan log Kemp Load Balancer
Dokumen ini menjelaskan cara mengumpulkan log Kemp Load Balancer menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan
KEMP_LOADBALANCER.
Mengonfigurasi Kemp Load Balancer
- Login ke konsol Kemp Load Balancer.
- Pilih Opsi logging > Opsi Syslog.
Di bagian Syslog options, di salah satu kolom yang tersedia, tentukan alamat IP penerusan Google Security Operations.
Sebaiknya tentukan alamat IP di kolom Info host.
Klik Ubah parameter syslog.
Mengonfigurasi penerus Google Security Operations untuk memproses log Kemp Load Balancer
- Pilih Setelan SIEM > Forwarder.
- Klik Tambahkan penerusan baru.
- Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
- Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Collector name, ketik nama unik untuk pengumpul.
- Pilih Kemp Load Balancer sebagai Log type.
- Pilih Syslog sebagai Collector type.
- Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak kolom dari pesan syslog Kemp Load Balancer berdasarkan kolom log_number, lalu memetakannya ke UDM. Fitur ini menangani berbagai format log menggunakan pola grok dan logika bersyarat, mengonversi jenis data, serta memperkaya peristiwa dengan metadata seperti jenis peristiwa, protokol aplikasi, dan hasil keamanan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | Waktu pengumpulan log digunakan sebagai stempel waktu peristiwa jika timestamp tidak ada. Nanodetik dipotong. |
| data | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Pesan log mentah. Berbagai kolom diekstrak dari kolom ini berdasarkan nomor log dan logika penguraian. |
| dstip | target.ip | Alamat IP tujuan. |
| dstport | target.port | Port tujuan. |
| filename | target.file.full_path | Nama file untuk peristiwa FTP. |
| file_size | target.file.size | Ukuran file untuk peristiwa FTP. Dikonversi menjadi bilangan bulat yang tidak bertanda tangan. |
| ftpmethod | network.ftp.command | Perintah/metode FTP. |
| hostname | intermediary.hostname | Nama host dari log berformat CEF. |
| http_method | network.http.method | Metode HTTP. |
| http_response_code | network.http.response_code | Kode respons HTTP. Dikonversi ke bilangan bulat. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pasangan nilai kunci dari log berformat CEF. Digunakan untuk mengekstrak berbagai kolom. |
| log_event | metadata.product_event_type | Jenis peristiwa dari log berformat CEF. |
| log_time | metadata.event_timestamp.seconds | Stempel waktu log. Dikonversi ke format Chronicle dan digunakan sebagai stempel waktu peristiwa. Nanodetik dipotong. |
| msg/message | Lihat data |
Berisi pesan log utama. Lihat data untuk mengetahui detail pemetaan UDM. |
| pid | target.process.pid | ID Proses. |
| resource | target.url | Resource diakses. |
| srcip | principal.ip | Alamat IP sumber. |
| src_ip | principal.ip | Alamat IP sumber. |
| srcport | principal.port | Port sumber. |
| src_port | principal.port | Port sumber. |
| sshd | target.application | Nama daemon SSH. |
| ringkasan | security_result.summary | Ringkasan hasil keamanan. |
| timestamp.seconds | events.timestamp.seconds | Stempel waktu entri log. Digunakan sebagai stempel waktu peristiwa jika ada. |
| pengguna | target.user.userid | Nama pengguna. |
| vs | target.ip | target.port | IP dan port server virtual. IP dipetakan ke target.ip. Port dipetakan ke target.port jika dstport tidak ada. |
| vs_port | target.port | Port server virtual. Ditentukan oleh logika berdasarkan log_number, dest_port, login_status, dan log_event. Nilai yang mungkin mencakup GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN, dan USER_UNCATEGORIZED. Dikodekan secara permanen ke "KEMP_LOADBALANCER". Dikodekan secara permanen ke "KEMP_LOADBALANCER". Dikodekan secara permanen ke "KEMP". Ditentukan oleh dest_port. Nilai yang mungkin adalah HTTP (port 80) dan HTTPS (port 443). Ditentukan oleh login_status dan audit_msg. Nilai yang mungkin adalah ALLOW dan BLOCK. Ditentukan oleh audit_msg. Nilai yang mungkin adalah ERROR. Disetel ke "AUTHTYPE_UNSPECIFIED" untuk peristiwa USER_LOGIN. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.