收集 Kemp Load Balancer 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Google 安全运营转发器收集 Kemp 负载平衡器日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 KEMP_LOADBALANCER 注入标签的解析器。
配置 Kemp 负载平衡器
- 登录 Kemp Load Balancer 控制台。
- 依次选择 Logging options > Syslog options。
在 Syslog 选项部分中的任意可用字段中,指定 Google 安全运营转发器的 IP 地址。
建议在信息主机字段中指定 IP 地址。
点击更改 syslog 参数。
配置 Google Security Operations 转发器以注入 Kemp 负载平衡器日志
- 依次选择 SIEM 设置 > 转发器。
- 点击添加新转发器。
- 在转发器名称字段中,为转发器输入一个唯一名称。
- 点击提交,然后点击确认。系统会添加转发器,并显示添加收集器配置窗口。
- 在 Collector name(收集器名称)字段中,为收集器输入一个唯一名称。
- 选择 Kemp 负载平衡器作为日志类型。
- 选择 Syslog 作为收集器类型。
- 配置以下必需的输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在的位置并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google Security Operations 转发器,请参阅通过 Google Security Operations 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google 安全运营支持团队联系。
字段映射参考文档
此解析器会根据 log_number 字段从 Kemp 负载平衡器 syslog 消息中提取字段,并将其映射到 UDM。它使用 grok 模式和条件逻辑处理各种日志格式,转换数据类型,并使用事件类型、应用协议和安全结果等元数据丰富事件。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | 如果未提供 timestamp,系统会使用日志收集时间作为事件时间戳。纳秒会被截断。 |
| 数据 | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | 原始日志消息。系统会根据日志编号和解析逻辑从此字段中提取各种字段。 |
| dstip | target.ip | 目标 IP 地址。 |
| dstport | target.port | 目标端口。 |
| filename | target.file.full_path | FTP 事件的文件名。 |
| file_size | target.file.size | FTP 事件的文件大小。已转换为无符号整数。 |
| ftpmethod | network.ftp.command | FTP 命令/方法。 |
| 主机名 | intermediary.hostname | CEF 格式日志中的主机名。 |
| http_method | network.http.method | HTTP 方法。 |
| http_response_code | network.http.response_code | HTTP 响应代码。转换为整数。 |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | CEF 格式日志中的键值对。用于提取各种字段。 |
| log_event | metadata.product_event_type | 采用 CEF 格式的日志中的事件类型。 |
| log_time | metadata.event_timestamp.seconds | 日志时间戳。转换为 Chronicle 格式,并用作事件时间戳。纳秒会被截断。 |
| msg/message | 查看data |
包含主要日志消息。如需了解 UDM 映射详情,请参阅 data。 |
| pid | target.process.pid | 进程 ID。 |
| 资源 | target.url | 访问的资源。 |
| srcip | principal.ip | 来源 IP 地址。 |
| src_ip | principal.ip | 来源 IP 地址。 |
| srcport | principal.port | 来源端口。 |
| src_port | principal.port | 来源端口。 |
| sshd | target.application | SSH 守护程序名称。 |
| 摘要 | security_result.summary | 安全结果摘要。 |
| timestamp.seconds | events.timestamp.seconds | 日志条目时间戳。用作事件时间戳(如果存在)。 |
| 用户 | target.user.userid | 用户名。 |
| 对比 | target.ip | target.port | 虚拟服务器 IP 地址和端口。IP 会映射到 target.ip。如果不存在 dstport,则端口会映射到 target.port。 |
| vs_port | target.port | 虚拟服务器端口。由基于 log_number、dest_port、login_status 和 log_event 的逻辑确定。可能的值包括 GENERIC_EVENT、NETWORK_HTTP、NETWORK_CONNECTION、USER_LOGIN 和 USER_UNCATEGORIZED。已硬编码为“KEMP_LOADBALANCER”。已硬编码为“KEMP_LOADBALANCER”。已硬编码为“KEMP”。由 dest_port 确定。可能的值包括 HTTP(端口 80)和 HTTPS(端口 443)。由 login_status 和 audit_msg 确定。可能的值包括 ALLOW 和 BLOCK。由 audit_msg 确定。可能的值为 ERROR。对于 USER_LOGIN 事件,请将其设置为“AUTHTYPE_UNSPECIFIED”。 |
变化
2023-05-31
- 解析了事件为“已连接”“从属接受”“阻止对主机的访问”的日志。
- 将“srcip”映射到“principal.ip”。
- 将“dstip”映射到“target.ip”。
- 将“vs”映射到“target.ip”。
- 将“srcport”映射到“principal.port”。
- 将“dstport”映射到“target.port”。
- 将“resource”映射到“target.url”。
- 将“event”映射到“metadata.product_event_type”。
- 解析了失败的 syslog 日志。