Kemp Load Balancer のログを収集する
このドキュメントでは、Google Security Operations フォワーダーを使用して Kemp Load Balancer のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル KEMP_LOADBALANCER
が付加されたパーサーに適用されます。
Kemp Load Balancer を構成する
- Kemp Load Balancer コンソールにログインします。
- [ロギング オプション] > [Syslog オプション] を選択します。
[Syslog オプション] セクションのいずれかのフィールドに、Google Security Operations フォワーダの IP アドレスを指定します。
[Info host] フィールドに IP アドレスを指定することをおすすめします。
[syslog パラメータを変更] をクリックします。
Kemp ロードバランサのログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM の設定] > [転送元] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信]、[確認] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
- [Log type] で [Kemp Load Balancer] を選択します。
- [Collector type] として [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、log_number
フィールドに基づいて Kemp Load Balancer syslog メッセージからフィールドを抽出し、UDM にマッピングします。grok
パターンと条件付きロジックを使用してさまざまなログ形式を処理し、データ型を変換し、イベントタイプ、アプリケーション プロトコル、セキュリティ結果などのメタデータでイベントを拡充します。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
collection_time.seconds | metadata.event_timestamp.seconds | timestamp が存在しない場合、ログ収集時刻がイベント タイムスタンプとして使用されます。ナノ秒は切り捨てられます。 |
サポート | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | 未加工のログ メッセージ。このフィールドから、ログ番号と解析ロジックに基づいてさまざまなフィールドが抽出されます。 |
dstip | target.ip | 宛先 IP アドレス。 |
dstport | target.port | 宛先ポート。 |
filename | target.file.full_path | FTP イベントのファイル名。 |
file_size | target.file.size | FTP イベントのファイルサイズ。符号なし整数に変換されます。 |
ftpmethod | network.ftp.command | FTP コマンド/メソッド。 |
hostname | intermediary.hostname | CEF 形式のログのホスト名。 |
http_method | network.http.method | HTTP メソッド。 |
http_response_code | network.http.response_code | HTTP レスポンス コード。整数に変換されます。 |
kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | CEF 形式のログの Key-Value ペア。さまざまなフィールドの抽出に使用します。 |
log_event | metadata.product_event_type | CEF 形式のログのイベントタイプ。 |
log_time | metadata.event_timestamp.seconds | ログのタイムスタンプ。Chronicle 形式に変換され、イベント タイムスタンプとして使用されます。ナノ秒は切り捨てられます。 |
msg/message | data を表示 |
メインのログ メッセージが含まれます。UDM マッピングの詳細については、data をご覧ください。 |
pid | target.process.pid | プロセス ID |
リソース | target.url | アクセスされたリソース。 |
srcip | principal.ip | 送信元 IP アドレス。 |
src_ip | principal.ip | 送信元 IP アドレス。 |
srcport | principal.port | 送信元ポート |
src_port | principal.port | 送信元ポート |
sshd | target.application | SSH デーモン名。 |
概要 | security_result.summary | セキュリティ結果の概要。 |
timestamp.seconds | events.timestamp.seconds | ログエントリのタイムスタンプ。存在する場合はイベント タイムスタンプとして使用されます。 |
ユーザー | target.user.userid | ユーザー名。 |
vs | target.ip | target.port | 仮想サーバーの IP とポート。IP は target.ip にマッピングされます。dstport が存在しない場合、ポートは target.port にマッピングされます。 |
vs_port | target.port | 仮想サーバー ポート。log_number 、dest_port 、login_status 、log_event に基づくロジックによって決定されます。有効な値は GENERIC_EVENT 、NETWORK_HTTP 、NETWORK_CONNECTION 、USER_LOGIN 、USER_UNCATEGORIZED です。「KEMP_LOADBALANCER」にハードコードされています。「KEMP_LOADBALANCER」にハードコードされています。「KEMP」にハードコードされています。dest_port によって決定されます。有効な値は HTTP (ポート 80)と HTTPS (ポート 443)です。login_status と audit_msg によって決まります。有効な値は ALLOW と BLOCK です。audit_msg によって決定されます。指定できる値は ERROR です。USER_LOGIN イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。 |
変更点
2023-05-31
- 「connected」、「slave accept」、「block access to host」というイベントを含むログを解析しました。
- 「srcip」を「principal.ip」にマッピングしました。
- 「dstip」を「target.ip」にマッピングしました。
- 「vs」を「target.ip」にマッピングしました。
- 「srcport」を「principal.port」にマッピングしました。
- 「dstport」を「target.port」にマッピングしました。
- 「resource」を「target.url」にマッピングしました。
- 「event」を「metadata.product_event_type」にマッピングしました。
- 失敗した syslog ログを解析しました。