Kemp Load Balancer のログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して Kemp Load Balancer のログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル KEMP_LOADBALANCER が付加されたパーサーに適用されます。

Kemp Load Balancer を構成する

  1. Kemp Load Balancer コンソールにログインします。
  2. [ロギング オプション] > [Syslog オプション] を選択します。
  3. [Syslog オプション] セクションのいずれかのフィールドに、Google Security Operations フォワーダの IP アドレスを指定します。

    [Info host] フィールドに IP アドレスを指定することをおすすめします。

  4. [syslog パラメータを変更] をクリックします。

Kemp ロードバランサのログを取り込むように Google Security Operations フォワーダーを構成する

  1. [SIEM の設定] > [転送元] を選択します。
  2. [新しいフォワーダーの追加] をクリックします。
  3. [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
  4. [送信]、[確認] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  5. [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
  6. [Log type] で [Kemp Load Balancer] を選択します。
  7. [Collector type] として [Syslog] を選択します。
  8. 次の必須入力パラメータを構成します。
    • プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
    • Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
    • Port: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
  9. [送信] をクリックします。

Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

フィールド マッピング リファレンス

このパーサーは、log_number フィールドに基づいて Kemp Load Balancer syslog メッセージからフィールドを抽出し、UDM にマッピングします。grok パターンと条件付きロジックを使用してさまざまなログ形式を処理し、データ型を変換し、イベントタイプ、アプリケーション プロトコル、セキュリティ結果などのメタデータでイベントを拡充します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
collection_time.seconds metadata.event_timestamp.seconds timestamp が存在しない場合、ログ収集時刻がイベント タイムスタンプとして使用されます。ナノ秒は切り捨てられます。
サポート metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary 未加工のログ メッセージ。このフィールドから、ログ番号と解析ロジックに基づいてさまざまなフィールドが抽出されます。
dstip target.ip 宛先 IP アドレス。
dstport target.port 宛先ポート。
filename target.file.full_path FTP イベントのファイル名。
file_size target.file.size FTP イベントのファイルサイズ。符号なし整数に変換されます。
ftpmethod network.ftp.command FTP コマンド/メソッド。
hostname intermediary.hostname CEF 形式のログのホスト名。
http_method network.http.method HTTP メソッド。
http_response_code network.http.response_code HTTP レスポンス コード。整数に変換されます。
kv_data principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url CEF 形式のログの Key-Value ペア。さまざまなフィールドの抽出に使用します。
log_event metadata.product_event_type CEF 形式のログのイベントタイプ。
log_time metadata.event_timestamp.seconds ログのタイムスタンプ。Chronicle 形式に変換され、イベント タイムスタンプとして使用されます。ナノ秒は切り捨てられます。
msg/message data を表示 メインのログ メッセージが含まれます。UDM マッピングの詳細については、data をご覧ください。
pid target.process.pid プロセス ID
リソース target.url アクセスされたリソース。
srcip principal.ip 送信元 IP アドレス。
src_ip principal.ip 送信元 IP アドレス。
srcport principal.port 送信元ポート
src_port principal.port 送信元ポート
sshd target.application SSH デーモン名。
概要 security_result.summary セキュリティ結果の概要。
timestamp.seconds events.timestamp.seconds ログエントリのタイムスタンプ。存在する場合はイベント タイムスタンプとして使用されます。
ユーザー target.user.userid ユーザー名。
vs target.ip | target.port 仮想サーバーの IP とポート。IP は target.ip にマッピングされます。dstport が存在しない場合、ポートは target.port にマッピングされます。
vs_port target.port 仮想サーバー ポート。log_numberdest_portlogin_statuslog_event に基づくロジックによって決定されます。有効な値は GENERIC_EVENTNETWORK_HTTPNETWORK_CONNECTIONUSER_LOGINUSER_UNCATEGORIZED です。「KEMP_LOADBALANCER」にハードコードされています。「KEMP_LOADBALANCER」にハードコードされています。「KEMP」にハードコードされています。dest_port によって決定されます。有効な値は HTTP(ポート 80)と HTTPS(ポート 443)です。login_statusaudit_msg によって決まります。有効な値は ALLOWBLOCK です。audit_msg によって決定されます。指定できる値は ERROR です。USER_LOGIN イベントの場合は「AUTHTYPE_UNSPECIFIED」に設定します。

変更点

2023-05-31

  • 「connected」、「slave accept」、「block access to host」というイベントを含むログを解析しました。
  • 「srcip」を「principal.ip」にマッピングしました。
  • 「dstip」を「target.ip」にマッピングしました。
  • 「vs」を「target.ip」にマッピングしました。
  • 「srcport」を「principal.port」にマッピングしました。
  • 「dstport」を「target.port」にマッピングしました。
  • 「resource」を「target.url」にマッピングしました。
  • 「event」を「metadata.product_event_type」にマッピングしました。
  • 失敗した syslog ログを解析しました。