Raccogli i log del bilanciatore del carico Kemp
Questo documento descrive come raccogliere i log di Kemp Load Balancer utilizzando un forwarder di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'analizzatore con l'etichetta di importazione KEMP_LOADBALANCER.
Configura Kemp Load Balancer
- Accedi alla console di Kemp Load Balancer.
- Seleziona Opzioni di logging > Opzioni Syslog.
Nella sezione Opzioni syslog, in uno dei campi disponibili, specifica l'indirizzo IP del forwarder di Google Security Operations.
Ti consigliamo di specificare l'indirizzo IP nel campo Host informazioni.
Fai clic su Modifica i parametri syslog.
Configura il forwarder di Google Security Operations per importare i log del bilanciatore del carico Kemp
- Seleziona Impostazioni SIEM > Inoltratori.
- Fai clic su Aggiungi nuovo mittente.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del collettore.
- Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
- Seleziona Kemp Load Balancer come Tipo di log.
- Seleziona Syslog come Tipo di collettore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione utilizzato dal collector per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite l'interfaccia utente di Google Security Operations.
Se riscontri problemi durante la creazione dei reindirizzamenti, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i campi dai messaggi syslog di Kemp Load Balancer in base al campo log_number, mappandoli all'UDM. Gestisce vari formati di log utilizzando pattern grok e logica condizionale, convertendo i tipi di dati e arricchendo gli eventi con metadati come tipo di evento, protocollo di applicazione e risultati di sicurezza.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | Se timestamp non è presente, viene utilizzato il momento di raccolta dei log come timestamp dell'evento. I nanosecondi sono troncati. |
| dati | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Il messaggio del log non elaborato. Da questo campo vengono estratti vari campi in base al numero di log e alla logica di analisi. |
| dstip | target.ip | Indirizzo IP di destinazione. |
| dstport | target.port | Porta di destinazione. |
| filename | target.file.full_path | Nome del file per gli eventi FTP. |
| file_size | target.file.size | Dimensioni del file per gli eventi FTP. Convertito in numero intero senza segno. |
| ftpmethod | network.ftp.command | Comando/metodo FTP. |
| nome host | intermediary.hostname | Nome host dai log formattati CEF. |
| http_method | network.http.method | Metodo HTTP. |
| http_response_code | network.http.response_code | Codice di risposta HTTP. Convertito in numero intero. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Coppie chiave-valore dai log con formato CEF. Utilizzato per estrarre vari campi. |
| log_event | metadata.product_event_type | Tipo di evento dai log formattati CEF. |
| log_time | metadata.event_timestamp.seconds | Timestamp del log. Convertito in formato Chronicle e utilizzato come timestamp dell'evento. I nanosecondi sono troncati. |
| msg/message | Visualizza data |
Contiene il messaggio di log principale. Per informazioni dettagliate sulla mappatura UDM, consulta data. |
| pid | target.process.pid | ID processo. |
| risorsa | target.url | Risorsa a cui è stato eseguito l'accesso. |
| srcip | principal.ip | Indirizzo IP di origine. |
| src_ip | principal.ip | Indirizzo IP di origine. |
| srcport | principal.port | Porta di origine. |
| src_port | principal.port | Porta di origine. |
| sshd | target.application | Nome del daemon SSH. |
| riepilogo | security_result.summary | Riepilogo del risultato della sicurezza. |
| timestamp.seconds | events.timestamp.seconds | Timestamp della voce di log. Utilizzato come timestamp dell'evento, se presente. |
| utente | target.user.userid | Nome utente. |
| e | target.ip | target.port | IP e porta del server virtuale. L'IP è mappato a target.ip. La porta è mappata a target.port se dstport non è presente. |
| vs_port | target.port | Porta del server virtuale. Determinato da una logica basata su log_number, dest_port, login_status e log_event. I valori possibili includono GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN e USER_UNCATEGORIZED. Hardcoded su "KEMP_LOADBALANCER". Hardcoded su "KEMP_LOADBALANCER". Hardcoded su "KEMP". Determinato da dest_port. I valori possibili sono HTTP (porta 80) e HTTPS (porta 443). Determinato da login_status e audit_msg. I valori possibili sono ALLOW e BLOCK. Determinato da audit_msg. Valore possibile: ERROR. Impostato su "AUTHTYPE_UNSPECIFIED" per gli eventi USER_LOGIN. |
Modifiche
2023-05-31
- log analizzati con eventi come "connected", "slave accept", "block access to host".
- "srcip" è stato mappato a "principal.ip".
- "dstip" è stato mappato a "target.ip".
- "vs" è stato mappato a "target.ip".
- "srcport" è stato mappato a "principal.port".
- "dstport" è stato mappato a "target.port".
- "resource" è stato mappato a "target.url".
- "event" è stato mappato a "metadata.product_event_type".
- Log syslog con errori analizzati.