Recolha registos do balanceador de carga Kemp
Este documento descreve como pode recolher registos do Kemp Load Balancer através de um encaminhador do Google Security Operations.
Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.
Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento KEMP_LOADBALANCER.
Configure o balanceador de carga Kemp
- Inicie sessão na consola do Kemp Load Balancer.
- Selecione Opções de registo > Opções de Syslog.
Na secção Opções de Syslog, em qualquer um dos campos disponíveis, especifique o endereço IP do encaminhador do Google Security Operations.
Recomendamos que especifique o endereço IP no campo Anfitrião de informações.
Clique em Alterar parâmetros de syslog.
Configure o encaminhador do Google Security Operations para carregar registos do balanceador de carga da Kemp
- Selecione Definições do SIEM > Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
- Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
- No campo Nome do coletor, introduza um nome exclusivo para o coletor.
- Selecione Kemp Load Balancer como o Tipo de registo.
- Selecione Syslog como o tipo de coletor.
- Configure os seguintes parâmetros de entrada obrigatórios:
- Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir os dados do syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve os dados do syslog.
- Clique em Enviar.
Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.
Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.
Referência de mapeamento de campos
Este analisador extrai campos de mensagens syslog do equilibrador de carga da Kemp com base no campo log_number, mapeando-os para o UDM. Processa vários formatos de registo através de grokpadrões e lógica condicional, convertendo tipos de dados e enriquecendo eventos com metadados, como o tipo de evento, o protocolo de aplicação e os resultados de segurança.
Tabela de mapeamento do UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | A hora de recolha do registo é usada como data/hora do evento se timestamp não estiver presente. Os nanosegundos são truncados. |
| dados | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | A mensagem de registo não processada. Vários campos são extraídos deste campo com base no número de registo e na lógica de análise. |
| dstip | target.ip | Endereço IP de destino. |
| dstport | target.port | Porta de destino. |
| nome de ficheiro | target.file.full_path | Nome do ficheiro para eventos de FTP. |
| file_size | target.file.size | Tamanho do ficheiro para eventos de NC. Convertido em número inteiro sem sinal. |
| ftpmethod | network.ftp.command | Comando/método FTP. |
| hostname | intermediary.hostname | Nome do anfitrião dos registos formatados CEF. |
| http_method | network.http.method | Método HTTP. |
| http_response_code | network.http.response_code | Código da resposta HTTP. Convertido em número inteiro. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pares de chave-valor de registos formatados em CEF. Usado para extrair vários campos. |
| log_event | metadata.product_event_type | Tipo de evento de registos formatados em CEF. |
| log_time | metadata.event_timestamp.seconds | Data/hora do registo. Convertido para o formato do Chronicle e usado como data/hora do evento. Os nanosegundos são truncados. |
| msg/message | Consulte data |
Contém a mensagem de registo principal. Consulte data para ver detalhes do mapeamento da UDM. |
| pid | target.process.pid | ID do processo. |
| recurso | target.url | Recurso acedido. |
| srcip | principal.ip | Endereço IP de origem. |
| src_ip | principal.ip | Endereço IP de origem. |
| srcport | principal.port | Porta de origem. |
| src_port | principal.port | Porta de origem. |
| sshd | target.application | Nome do daemon SSH. |
| resumo | security_result.summary | Resumo do resultado de segurança. |
| timestamp.seconds | events.timestamp.seconds | Data/hora da entrada do registo. Usado como data/hora do evento, se estiver presente. |
| utilizador | target.user.userid | Nome de utilizador. |
| vs. | target.ip | target.port | IP e porta do servidor virtual. O IP está mapeado para target.ip. A porta é mapeada para target.port se dstport não estiver presente. |
| vs_port | target.port | Porta do servidor virtual. Determinado pela lógica com base em log_number, dest_port, login_status e log_event. Os valores possíveis incluem GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN e USER_UNCATEGORIZED. Codificado de forma rígida para "KEMP_LOADBALANCER". Codificado de forma rígida para "KEMP_LOADBALANCER". Codificado de forma rígida para "KEMP". Determinado por dest_port. Os valores possíveis são HTTP (porta 80) e HTTPS (porta 443). Determinado por login_status e audit_msg. Os valores possíveis são ALLOW e BLOCK. Determinado por audit_msg. O valor possível é ERROR. Definido como "AUTHTYPE_UNSPECIFIED" para eventos USER_LOGIN. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.