Kemp Load Balancer-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie Kemp Load Balancer-Logs mithilfe eines Google Security Operations-Weiterleiters erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel KEMP_LOADBALANCER.
Kemp Load Balancer konfigurieren
- Melden Sie sich in der Kemp Load Balancer-Konsole an.
- Wählen Sie Logging-Optionen > Syslog-Optionen aus.
Geben Sie im Abschnitt Syslog-Optionen in einem der verfügbaren Felder die IP-Adresse des Google Security Operations-Weiterleiters an.
Wir empfehlen, die IP-Adresse im Feld Info-Host anzugeben.
Klicken Sie auf Syslog-Parameter ändern.
Google Security Operations-Weiterleiter für die Aufnahme von Kemp Load Balancer-Logs konfigurieren
- Wählen Sie SIEM-Einstellungen > Weiterleitungen aus.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Wählen Sie Kemp Load Balancer als Logtyp aus.
- Wählen Sie Syslog als Typ des Collectors aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter der bzw. dem sich der Collector befindet und auf syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und der syslog-Daten zuhört.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz für die Feldzuordnung
Dieser Parser extrahiert Felder aus syslog-Nachrichten von Kemp Load Balancer basierend auf dem Feld log_number und ordnet sie dem UDM zu. Er verarbeitet verschiedene Protokollformate mithilfe von grok-Mustern und bedingter Logik, konvertiert Datentypen und ergänzt Ereignisse mit Metadaten wie Ereignistyp, Anwendungsprotokoll und Sicherheitsergebnisse.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | Wenn timestamp nicht vorhanden ist, wird die Zeit der Protokollerhebung als Ereigniszeitstempel verwendet. Nanosekunden werden abgeschnitten. |
| Daten | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Die Roh-Lognachricht. Je nach Log-Nummer und Parselogik werden verschiedene Felder aus diesem Feld extrahiert. |
| dstip | target.ip | IP-Adresse des Ziels. |
| dstport | target.port | Zielport. |
| filename | target.file.full_path | Dateiname für FTP-Ereignisse. |
| file_size | target.file.size | Dateigröße für FTP-Ereignisse. In eine vorzeichenlose Ganzzahl konvertiert. |
| ftpmethod | network.ftp.command | FTP-Befehl/-Methode |
| Hostname | intermediary.hostname | Hostname aus CEF-formatierten Protokollen. |
| http_method | network.http.method | HTTP-Methode. |
| http_response_code | network.http.response_code | HTTP-Antwortcode. In eine Ganzzahl umgewandelt. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Schlüssel/Wert-Paare aus CEF-formatierten Protokollen Wird zum Extrahieren verschiedener Felder verwendet. |
| log_event | metadata.product_event_type | Ereignistyp aus CEF-formatierten Protokollen. |
| log_time | metadata.event_timestamp.seconds | Zeitstempel des Logs. Wird in das Chronicle-Format konvertiert und als Ereigniszeitstempel verwendet. Nanosekunden werden abgeschnitten. |
| msg/message | data ansehen |
Enthält die Hauptprotokollmeldung. Weitere Informationen zur UDM-Zuordnung finden Sie unter data. |
| pid | target.process.pid | Prozess-ID. |
| Ressource | target.url | Aufgerufene Ressource. |
| srcip | principal.ip | IP-Adresse der Quelle. |
| src_ip | principal.ip | IP-Adresse der Quelle. |
| srcport | principal.port | Quellport. |
| src_port | principal.port | Quellport. |
| sshd | target.application | Name des SSH-Daemons. |
| Zusammenfassung | security_result.summary | Zusammenfassung des Sicherheitsergebnisses. |
| timestamp.seconds | events.timestamp.seconds | Zeitstempel des Logeintrags. Wird als Ereigniszeitstempel verwendet, sofern vorhanden. |
| Nutzer | target.user.userid | Nutzername. |
| gegen | target.ip | target.port | IP-Adresse und Port des virtuellen Servers. Die IP-Adresse ist target.ip zugeordnet. Der Anschluss wird target.port zugeordnet, wenn dstport nicht vorhanden ist. |
| vs_port | target.port | Port des virtuellen Servers. Wird anhand einer Logik bestimmt, die auf log_number, dest_port, login_status und log_event basiert. Mögliche Werte sind GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN und USER_UNCATEGORIZED. Hartcodiert auf „KEMP_LOADBALANCER“. Hartcodiert auf „KEMP_LOADBALANCER“. Hartcodiert auf „KEMP“. Festgelegt von dest_port. Mögliche Werte sind HTTP (Port 80) und HTTPS (Port 443). Wird durch login_status und audit_msg bestimmt. Mögliche Werte sind ALLOW und BLOCK. Festgelegt von audit_msg. Möglicher Wert ist ERROR. Legen Sie für USER_LOGIN-Ereignisse „AUTHTYPE_UNSPECIFIED“ fest. |
Änderungen
2023-05-31
- geparste Protokolle mit Ereignissen wie „connected“, „slave accept“ und „block access to host“
- „srcip“ wurde auf „principal.ip“ zugeordnet.
- „dstip“ wurde zu „target.ip“ zugeordnet.
- „vs“ wurde „target.ip“ zugeordnet.
- „srcport“ wurde auf „principal.port“ zugeordnet.
- „dstport“ wurde in „target.port“ geändert.
- „resource“ wurde „target.url“ zugeordnet.
- „event“ wurde auf „metadata.product_event_type“ zugeordnet.
- Geparste fehlerhafte Syslog-Logs.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten