Mengumpulkan log Kemp Load Balancer
Dokumen ini menjelaskan cara mengumpulkan log Kemp Load Balancer menggunakan forwarder Operasi Keamanan Google.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan
label transfer KEMP_LOADBALANCER.
Mengonfigurasi Kemp Load Balancer
- Login ke konsol Kemp Load Balancer.
- Pilih Opsi logging > Opsi syslog.
Di bagian Opsi syslog, di salah satu kolom yang tersedia, tentukan alamat IP penerusan Google Security Operations.
Sebaiknya tentukan alamat IP di kolom Info host.
Klik Change syslog parameters.
Mengonfigurasi forwarder Google Security Operations untuk menyerap log Kemp Load Balancer
- Pilih Setelan SIEM > Penerima.
- Klik Tambahkan penerusan baru.
- Di kolom Nama pengirim, masukkan nama unik untuk pengirim.
- Klik Kirim, lalu klik Konfirmasi. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama unik untuk kolektor.
- Pilih Kemp Load Balancer sebagai Log type.
- Pilih Syslog sebagai Jenis kolektor.
- Konfigurasikan parameter input wajib berikut:
- Protokol: menentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang forwarder Google Security Operations, lihat Mengelola konfigurasi forwarder melalui UI Google Security Operations.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak kolom dari pesan syslog Kemp Load Balancer berdasarkan kolom log_number, yang memetakan kolom tersebut ke UDM. Fungsi ini menangani berbagai format log menggunakan pola grok dan logika kondisional, mengonversi jenis data, dan memperkaya peristiwa dengan metadata seperti jenis peristiwa, protokol aplikasi, dan hasil keamanan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | Waktu pengumpulan log digunakan sebagai stempel waktu peristiwa jika timestamp tidak ada. Nanodetik terpotong. |
| data | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Pesan log mentah. Berbagai kolom diekstrak dari kolom ini berdasarkan nomor log dan logika penguraian. |
| dstip | target.ip | Alamat IP tujuan. |
| dstport | target.port | Port tujuan. |
| filename | target.file.full_path | Nama file untuk peristiwa FTP. |
| file_size | target.file.size | Ukuran file untuk peristiwa FTP. Dikonversi menjadi bilangan bulat tanpa tanda tangan. |
| ftpmethod | network.ftp.command | Perintah/metode FTP. |
| hostname | intermediary.hostname | Nama host dari log berformat CEF. |
| http_method | network.http.method | Metode HTTP. |
| http_response_code | network.http.response_code | Kode respons HTTP. Dikonversi ke bilangan bulat. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pasangan nilai kunci dari log berformat CEF. Digunakan untuk mengekstrak berbagai kolom. |
| log_event | metadata.product_event_type | Jenis peristiwa dari log berformat CEF. |
| log_time | metadata.event_timestamp.seconds | Stempel waktu log. Dikonversi ke format Chronicle dan digunakan sebagai stempel waktu peristiwa. Nanodetik terpotong. |
| msg/message | Lihat data |
Berisi pesan log utama. Lihat data untuk mengetahui detail pemetaan UDM. |
| pid | target.process.pid | ID proses. |
| resource | target.url | Resource diakses. |
| srcip | principal.ip | Alamat IP sumber. |
| src_ip | principal.ip | Alamat IP sumber. |
| srcport | principal.port | Port sumber. |
| src_port | principal.port | Port sumber. |
| sshd | target.application | Nama daemon SSH. |
| ringkasan | security_result.summary | Ringkasan hasil keamanan. |
| timestamp.seconds | events.timestamp.seconds | Stempel waktu entri log. Digunakan sebagai stempel waktu peristiwa jika ada. |
| pengguna | target.user.userid | Nama pengguna. |
| vs | target.ip | target.port | IP dan port server virtual. IP dipetakan ke target.ip. Port dipetakan ke target.port jika dstport tidak ada. |
| vs_port | target.port | Port server virtual. Ditentukan oleh logika berdasarkan log_number, dest_port, login_status, dan log_event. Nilai yang mungkin mencakup GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN, dan USER_UNCATEGORIZED. Di-hardcode ke "KEMP_LOADBALANCER". Di-hardcode ke "KEMP_LOADBALANCER". Di-hardcode ke "KEMP". Ditentukan oleh dest_port. Kemungkinan nilainya adalah HTTP (port 80) dan HTTPS (port 443). Ditentukan oleh login_status dan audit_msg. Kemungkinan nilainya adalah ALLOW dan BLOCK. Ditentukan oleh audit_msg. Nilai yang mungkin adalah ERROR. Tetapkan ke "AUTHTYPE_UNSPECIFIED" untuk peristiwa USER_LOGIN. |
Perubahan
2023-05-31
- log yang diuraikan dengan peristiwa sebagai "terhubung", "slave accept", "block access to host".
- Memetakan "srcip" ke "principal.ip".
- Memetakan "dstip" ke "target.ip".
- Memetakan "vs" ke "target.ip".
- Memetakan "srcport" ke "principal.port".
- Memetakan "dstport" ke "target.port".
- Memetakan "resource" ke "target.url".
- Memetakan "peristiwa" ke "metadata.product_event_type".
- Mengurai log syslog yang gagal.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.