Kemp 부하 분산기 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 전달자를 사용하여 Kemp Load Balancer 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 KEMP_LOADBALANCER 수집 라벨이 있는 파서에 적용됩니다.

Kemp 부하 분산기 구성

  1. Kemp Load Balancer 콘솔에 로그인합니다.
  2. Logging options(로깅 옵션) > Syslog options(Syslog 옵션)를 선택합니다.

  3. Syslog 옵션 섹션의 사용 가능한 필드에서 Google Security Operations 전달자의 IP 주소를 지정합니다.

    정보 호스트 필드에 IP 주소를 지정하는 것이 좋습니다.

  4. syslog 매개변수 변경을 클릭합니다.

Kemp Load Balancer 로그를 수집하도록 Google Security Operations 전달자 구성

  1. SIEM 설정 > 전달자를 선택합니다.
  2. 새 전달자 추가를 클릭합니다.
  3. 전달자 이름 입력란에 전달자의 고유한 이름을 입력합니다.
  4. 제출을 클릭한 다음 확인을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
  5. 수집기 이름 필드에 수집기의 고유한 이름을 입력합니다.
  6. 로그 유형으로 Kemp Load Balancer를 선택합니다.
  7. 수집기 유형으로 Syslog를 선택합니다.
  8. 다음 필수 입력 매개변수를 구성합니다.
    • 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
    • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
    • 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
  9. 제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations UI를 통해 전달자 구성 관리를 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 log_number 필드를 기반으로 Kemp 부하 분산기 syslog 메시지에서 필드를 추출하여 UDM에 매핑합니다. grok 패턴과 조건부 로직을 사용하여 다양한 로그 형식을 처리하고, 데이터 유형을 변환하고, 이벤트 유형, 애플리케이션 프로토콜, 보안 결과와 같은 메타데이터로 이벤트를 보강합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
collection_time.seconds metadata.event_timestamp.seconds timestamp가 없으면 로그 수집 시간이 이벤트 타임스탬프로 사용됩니다. 나노초는 잘립니다.
데이터 metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary 원시 로그 메시지입니다. 로그 번호 및 파싱 로직에 따라 이 필드에서 다양한 필드가 추출됩니다.
dstip target.ip 대상 IP 주소입니다.
dstport target.port 대상 포트.
filename target.file.full_path FTP 이벤트의 파일 이름입니다.
file_size target.file.size FTP 이벤트의 파일 크기입니다. 부호 없는 정수로 변환됩니다.
ftpmethod network.ftp.command FTP 명령어/방법
호스트 이름 intermediary.hostname CEF 형식 로그의 호스트 이름입니다.
http_method network.http.method HTTP 메서드
http_response_code network.http.response_code HTTP 응답 코드입니다. 정수로 변환됩니다.
kv_data principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url CEF 형식 로그의 키-값 쌍입니다. 다양한 필드를 추출하는 데 사용됩니다.
log_event metadata.product_event_type CEF 형식 로그의 이벤트 유형입니다.
log_time metadata.event_timestamp.seconds 로그 타임스탬프입니다. Chronicle 형식으로 변환되어 이벤트 타임스탬프로 사용됩니다. 나노초는 잘립니다.
msg/message data 보기 기본 로그 메시지가 포함됩니다. UDM 매핑 세부정보는 data를 참고하세요.
pid target.process.pid 처리 ID입니다.
리소스 target.url 액세스된 리소스입니다.
srcip principal.ip 소스 IP 주소입니다.
src_ip principal.ip 소스 IP 주소입니다.
srcport principal.port 소스 포트.
src_port principal.port 소스 포트.
sshd target.application SSH 데몬 이름입니다.
요약 security_result.summary 보안 결과 요약입니다.
timestamp.seconds events.timestamp.seconds 로그 항목 타임스탬프 있는 경우 이벤트 타임스탬프로 사용됩니다.
사용자 target.user.userid 사용자 이름입니다.
vs target.ip | target.port 가상 서버 IP 및 포트 IP가 target.ip에 매핑됩니다. dstport가 없으면 포트가 target.port에 매핑됩니다.
vs_port target.port 가상 서버 포트입니다. log_number, dest_port, login_status, log_event에 기반한 로직에 따라 결정됩니다. 가능한 값은 GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN, USER_UNCATEGORIZED입니다. 'KEMP_LOADBALANCER'로 하드코딩됩니다. 'KEMP_LOADBALANCER'로 하드코딩됩니다. 'KEMP'로 하드코딩됩니다. dest_port에 의해 결정됩니다. 가능한 값은 HTTP (포트 80) 및 HTTPS (포트 443)입니다. login_statusaudit_msg에 의해 결정됩니다. 가능한 값은 ALLOWBLOCK입니다. audit_msg에 의해 결정됩니다. 가능한 값은 ERROR입니다. USER_LOGIN 이벤트의 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다.

변경사항

2023-05-31

  • '연결됨', 'slave accept', 'block access to host' 이벤트가 포함된 로그를 파싱했습니다.
  • 'srcip'가 'principal.ip'에 매핑되었습니다.
  • 'dstip'이 'target.ip'에 매핑되었습니다.
  • 'vs'가 'target.ip'에 매핑되었습니다.
  • 'srcport'가 'principal.port'에 매핑되었습니다.
  • 'dstport'가 'target.port'에 매핑되었습니다.
  • 'resource'가 'target.url'에 매핑되었습니다.
  • 'event'가 'metadata.product_event_type'에 매핑되었습니다.
  • 실패하는 syslog 로그를 파싱했습니다.