Mengelola parser bawaan dan kustom
Dokumen ini menjelaskan cara menggunakan fitur pengelolaan parser untuk membuat parser kustom atau memilih untuk ikut serta atau tidak dalam update parser bawaan yang dimulai oleh Google Security Operations.
Perubahan pada parser bawaan dirilis secara rutin sebagai kandidat rilis. Selama periode kandidat rilis, Anda dapat memilih untuk mengupdate satu atau beberapa parser dengan perubahan yang tertunda. Setiap 4 minggu, update yang tertunda akan otomatis aktif saat perubahan parser yang tertunda dipromosikan ke default. Durasi waktu untuk mengevaluasi perubahan bergantung pada waktu perubahan dirilis selama periode kandidat rilis.
Fitur pengelolaan parser memungkinkan Anda memeriksa dan menguji update selama periode kandidat rilis. Anda dapat melihat daftar perubahan sebelumnya pada parser bawaan dan juga melihat perubahan mendatang dalam ritme rilis. Kemudian, Anda dapat memilih untuk ikut atau tidak ikut update.
Google Security Operations juga memberi Anda fleksibilitas untuk membuat parser kustom untuk jenis log yang tidak memiliki parser bawaan. Anda dapat membuat parser yang sepenuhnya baru langsung dari log mentah atau menggunakan parser yang ada sebagai dasar untuk parser kustom baru. Anda dapat memperluas petunjuk pemetaan dengan membuat ekstensi parser untuk parser bawaan atau kustom.
Berbagai jenis parser adalah sebagai berikut:
| Jenis parser | Deskripsi |
|---|---|
| Telah di-build | Parser yang dibuat oleh Google Security Operations dan berisi petunjuk pemetaan data bawaan untuk mengubah data log asli ke kolom UDM. |
| Diperluas bawaan | Parser bawaan yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan untuk mengekstrak data tambahan dari log mentah asli dan menyisipkannya ke dalam data UDM. |
| Kustom | Parser yang dibuat oleh pelanggan dengan petunjuk pemetaan data kustom untuk mengubah data log asli ke kolom UDM. |
| Kustom diperpanjang | Parser kustom yang dibuat oleh pelanggan dengan petunjuk pemetaan tambahan menggunakan ekstensi parser untuk mengekstrak data tambahan dari log mentah asli dan menyisipkannya ke dalam data UDM. |
Sebelum memulai
Dokumen berikut menjelaskan konsep prasyarat yang penting untuk mengelola update parser:
Membuat parser kustom berdasarkan petunjuk pemetaan
Anda dapat membuat parser kustom dengan menulis kode yang mengonversi log mentah asli menjadi data UDM. Untuk struktur parser, lihat Ringkasan penguraian log dan Referensi sintaksis parser untuk mengetahui informasi tentang sintaksis. Saat membuat parser, pastikan petunjuk pemetaan data mengisi sebanyak mungkin kolom UDM penting.
Di menu navigasi, pilih Setelan > Setelan SIEM.
Klik Create Parser.
Pilih sumber log yang sesuai dari daftar Log Source.
Pilih Mulai dengan Log Mentah Saja untuk membuat parser baru sesuai dengan persyaratan Anda.
Klik Create.
Ketik kode di Terminal Kode Parser. Untuk informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.
Opsional: Klik untuk mengedit log mentah atau salinan yang ada.
Opsional: Klik untuk memuat log mentah terbaru.
Klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.
Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.
Klik Validasi untuk memvalidasi parser kustom.
Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, membuat perubahan jika diperlukan, lalu memvalidasi parser kustom.
Klik Kirim.
Parser dipilih untuk normalisasi setelah 20 menit.
Membuat parser kustom dari parser yang ada
Anda dapat menggunakan parser yang ada sebagai template untuk membuat parser baru. Anda dapat membuat parser kustom hanya menggunakan pendekatan kode. Untuk membuat parser kustom dari parser yang ada, ikuti langkah-langkah berikut:
Dari menu aplikasi , pilih Setelan > Parser.
Klik Create Parser.
Pilih sumber log yang sesuai dari daftar Log Source.
Pilih Mulai dengan Parser Bawaan yang Ada untuk menggunakan parser yang ada sebagai dasar untuk membuat parser kustom baru.
Klik Create.
Edit kode di Terminal Kode Parser. Untuk informasi selengkapnya, lihat Membuat petunjuk pemetaan cuplikan kode.
Opsional: Klik untuk mengedit log mentah.
Opsional: Klik untuk memuat ulang log mentah.
Saat Anda menambahkan kode untuk mem-build parser, klik Pratinjau untuk melihat output UDM. Pesan error akan ditampilkan jika kode salah.
Dalam pratinjau, Anda dapat menggunakan plugin filter statedump untuk memvalidasi status internal parser. Untuk mengetahui informasi selengkapnya, lihat Memvalidasi data menggunakan plugin statedump.
Klik Validasi untuk memvalidasi parser kustom.
Proses validasi mungkin memerlukan waktu beberapa menit, jadi sebaiknya Anda melihat pratinjau parser kustom terlebih dahulu, melakukan perubahan jika diperlukan, lalu memvalidasi parser kustom.
Klik Kirim.
Parser dipilih untuk normalisasi setelah 20 menit.
Mengelola update parser bawaan
Saat Google Security Operations merilis update ke parser, update tersebut akan berada dalam status tertunda selama 15 hari. Untuk memilih ikut serta atau tidak dalam update parser, periksa perbedaan antara versi parser sebelumnya dan yang lebih baru dengan melakukan hal berikut:
Login ke instance Google Security Operations Anda.
Dari menu aplikasi , pilih Setelan > Parser.
Klik Filter.
Pilih Pra-buat, Aktif, dan Pra-buat yang Diperluas dari daftar.
Parser bawaan aktif Anda akan ditampilkan. Parser bawaan adalah parser default yang dirilis oleh Google Security Operations. Jika kolom Update berisi Pending sebagai status, hal ini menunjukkan bahwa parser memiliki update yang dapat Anda periksa.
Klik Menu, lalu pilih Lihat update yang tertunda dari daftar.
Halaman Bandingkan parser akan muncul. Di sini, Anda dapat melihat hal berikut:
Perbedaan kode antara versi parser saat ini dan versi mendatang
Log perubahan di tab Log perubahan
Peristiwa UDM yang dihasilkan untuk log mentah sampel
Tanggal dan waktu saat parser dibuat
Tanggal dan waktu saat kode parser terakhir diperbarui
Anda dapat memilih untuk ikut serta lebih awal dalam update ini, menunggunya diterapkan secara otomatis dalam 15 hari, atau memilih untuk tidak ikut.
Memilih untuk menerima update parser lebih awal
Fitur pengelolaan parser memungkinkan Anda memilih untuk menggunakan update parser lebih awal dan mengujinya. Anda dapat memilih untuk mendapatkan update parser lebih awal hanya jika menggunakan parser bawaan. Setelah memilih untuk ikut serta lebih awal, Anda dapat mengembalikan parser ke versi sebelumnya dalam 15 hari setelah rilis update. Untuk memilih ikut serta dalam update lebih awal, ikuti langkah-langkah berikut:
Di halaman Bandingkan parser, klik Aktifkan update parser.
Dialog Konfirmasi update parser akan muncul.
Klik Konfirmasi.
Parser dipilih untuk normalisasi setelah 20 menit.
Memilih tidak menggunakan update parser
Untuk memilih tidak ikut dalam update parser saat ini dan mendatang, buat parser kustom. Anda dapat menggunakan parser versi saat ini atau yang diperbarui sebagai parser kustom. Semua update mendatang pada parser kustom akan terlihat oleh Anda, tetapi tidak akan diterapkan kecuali jika Anda memilih untuk menggunakannya. Untuk memilih tidak ikut update saat ini atau mendatang, ikuti langkah-langkah berikut:
Di halaman Compare parsers, klik Skip update.
Jendela Lewati update dan buat parser kustom akan muncul.
Klik Buat parser kustom.
Untuk menetapkan versi parser default sebagai parser kustom, pilih Parser bawaan. Untuk menetapkan versi yang diperbarui sebagai parser kustom, pilih Pembaruan PARSER Tertunda.
Klik Create.
Versi yang dipilih akan dipilih untuk normalisasi setelah 20 menit. Parser akan muncul sebagai Kustom dan Aktif dalam daftar parser di halaman Parser. Versi bawaan sebelumnya akan muncul sebagai Bawaan dan Tidak aktif.
Mengelola update parser kustom
Jika Anda memilih untuk tidak mengaktifkan update parser bawaan, parser kustom akan dibuat. Parser kustom akan terlihat di daftar parser sebagai entri baru.
Membuat parser kustom tidak aktif
Dari menu aplikasi , pilih Setelan > Parser.
Klik Menu pada parser yang ingin Anda nonaktifkan, lalu pilih Nonaktifkan dari daftar.
Dialog Buat parser tidak aktif akan muncul.
Klik Buat tidak aktif.
Parser kustom dinonaktifkan dan versi parser default diaktifkan setelah 20 menit. Artinya, parser kustom menjadi parser bawaan. Jika Anda telah membuat parser kustom dari parser bawaan dengan update, update akan hilang saat Anda mengembalikan parser kustom ke parser bawaan. Anda harus memilih untuk ikut serta lagi dalam update parser.
Menghapus parser kustom
Dari menu aplikasi , pilih Setelan > Parser.
Klik Menu pada parser yang ingin Anda hapus, lalu pilih Delete dari daftar.
Dialog Hapus parser kustom akan muncul.
Klik Hapus.
Parser kustom akan dihapus dan versi parser default akan diaktifkan setelah 20 menit. Artinya, parser kustom menjadi parser bawaan. Jika Anda telah membuat parser kustom dari parser bawaan dengan update, update akan hilang saat Anda mengembalikan parser kustom ke parser bawaan. Anda harus memilih untuk ikut serta lagi dalam update parser.
Membuat ekstensi
Anda dapat memperluas parser kustom atau bawaan dengan menentukan petunjuk pemetaan kustom untuk mengekstrak data tambahan dari log mentah asli. Anda dapat menyisipkan data ke dalam data UDM yang dihasilkan oleh parser kustom. Anda tidak dapat membuat parser baru menggunakan ekstensi parser.
Untuk informasi tentang cara membuat ekstensi parser, lihat Menggunakan ekstensi parser.
Mengembalikan update awal parser bawaan
Jika telah memilih untuk menggunakan update parser lebih awal, Anda dapat kembali ke versi sebelumnya dalam periode 15 hari. Untuk beralih kembali ke versi parser sebelumnya, ikuti langkah-langkah berikut:
Dari menu aplikasi , pilih Setelan > Parser.
Klik Menu pada parser yang ingin Anda kembalikan.
Klik View.
Halaman Lihat parser bawaan akan muncul.
Klik Kembalikan ke versi sebelumnya.
Dialog Kembalikan ke sebelumnya akan muncul. Anda dapat mengklik Bandingkan Parser di dialog untuk melihat perbedaan antara versi saat ini dan versi sebelumnya.
Klik Konfirmasi untuk mengembalikan parser ke versi sebelumnya.
Parser akan dikembalikan ke versi sebelumnya setelah 20 menit.
Mengontrol akses ke pengelolaan parser
Secara default, update parser dapat dikelola oleh pengguna dengan peran Administrator dan Editor. Izin baru dapat diberikan untuk mengontrol siapa yang dapat melihat dan mengelola update parser. Untuk mengetahui informasi selengkapnya tentang cara mengelola pengguna dan grup, atau menetapkan peran, lihat panduan pengguna kontrol akses berbasis peran.