Kemp Load Balancer のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Kemp Load Balancer のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル KEMP_LOADBALANCER が付加されたパーサーに適用されます。
Kemp Load Balancer を構成する
- Kemp Load Balancer コンソールにログインします。
- [Logging options] > [Syslog options] を選択します。
[Syslog options] セクションで、使用可能なフィールドのいずれかに Google Security Operations フォワーダーの IP アドレスを指定します。
[Info host] フィールドに IP アドレスを指定することをおすすめします。
[Change syslog parameters] をクリックします。
Kemp ロードバランサのログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM の設定] > [フォワーダー] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [Forwarder name] フィールドに、フォワーダーの一意の名前を入力します。
- [Submit]、[Confirm] の順にクリックします。フォワーダーが追加され、[Add collector configuration] ウィンドウが表示されます。
- [Collector name] フィールドに、コレクタの一意の名前を入力します。
- [Log type] として [Kemp Load Balancer] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、log_number フィールドに基づいて Kemp Load Balancer syslog メッセージからフィールドを抽出し、UDM にマッピングします。grok パターンと条件付きロジックを使用してさまざまなログ形式を処理し、データ型を変換し、イベントタイプ、アプリケーション プロトコル、セキュリティ結果などのメタデータでイベントを拡充します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | timestamp が存在しない場合、ログ収集時刻がイベント タイムスタンプとして使用されます。ナノ秒は切り捨てられます。 |
| データ | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | 未加工のログ メッセージ。このフィールドから、ログ番号と解析ロジックに基づいてさまざまなフィールドが抽出されます。 |
| dstip | target.ip | 宛先 IP アドレス。 |
| dstport | target.port | 宛先ポート。 |
| filename | target.file.full_path | FTP イベントのファイル名。 |
| file_size | target.file.size | FTP イベントのファイルサイズ。符号なし整数に変換されます。 |
| ftpmethod | network.ftp.command | FTP コマンド/メソッド。 |
| ホスト名 | intermediary.hostname | CEF 形式のログから取得したホスト名。 |
| http_method | network.http.method | HTTP メソッド。 |
| http_response_code | network.http.response_code | HTTP レスポンス コード整数に変換されます。 |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | CEF 形式のログの Key-Value ペア。さまざまなフィールドの抽出に使用します。 |
| log_event | metadata.product_event_type | CEF 形式のログから取得したイベントタイプ。 |
| log_time | metadata.event_timestamp.seconds | ログのタイムスタンプ。Chronicle 形式に変換され、イベント タイムスタンプとして使用されます。ナノ秒は切り捨てられます。 |
| msg/message | data を表示 |
メインのログ メッセージが含まれます。UDM マッピングの詳細については、data をご覧ください。 |
| pid | target.process.pid | プロセス ID。 |
| リソース | target.url | アクセスされたリソース。 |
| srcip | principal.ip | 送信元 IP アドレス。 |
| src_ip | principal.ip | 送信元 IP アドレス。 |
| srcport | principal.port | ソースポート。 |
| src_port | principal.port | ソースポート。 |
| sshd | target.application | SSH デーモン名。 |
| 概要 | security_result.summary | セキュリティ結果の概要。 |
| timestamp.seconds | events.timestamp.seconds | ログエントリのタイムスタンプ。存在する場合はイベント タイムスタンプとして使用されます。 |
| ユーザー | target.user.userid | ユーザー名。 |
| 対 | target.ip | target.port | 仮想サーバーの IP とポート。IP は target.ip にマッピングされます。dstport が存在しない場合、ポートは target.port にマッピングされます。 |
| vs_port | target.port | 仮想サーバーポート。log_number、dest_port、login_status、log_event に基づくロジックによって決定されます。可能な値は GENERIC_EVENT、NETWORK_HTTP、NETWORK_CONNECTION、USER_LOGIN、USER_UNCATEGORIZED です。「KEMP_LOADBALANCER」にハードコードされます。「KEMP_LOADBALANCER」にハードコードされます。「KEMP」にハードコードされます。dest_port によって決定されます。有効な値は HTTP(ポート 80)と HTTPS(ポート 443)です。login_status と audit_msg によって決まります。有効な値は ALLOW、BLOCK です。audit_msg によって決定されます。指定できる値は ERROR です。USER_LOGIN イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。 |
変更
2023-05-31
- 「connected」、「slave accept」、「block access to host」というイベントを含むログを解析しました。
- 「srcip」を「principal.ip」にマッピングしました。
- 「dstip」を「target.ip」にマッピングしました。
- 「vs」を「target.ip」にマッピングしました。
- 「src_port」を「principal.port」にマッピングしました。
- 「dstport」を「target.port」にマッピングしました。
- 「resource」を「target.url」にマッピングしました。
- 「event」を「metadata.product_event_type」にマッピングしました。
- 失敗する syslog ログを解析しました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。