Apache-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Apache-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parsercode versucht zuerst, die Roh-Logmeldung als JSON zu parsen. Wenn das nicht funktioniert, werden reguläre Ausdrücke (grok-Muster) verwendet, um Felder aus der Nachricht basierend auf gängigen Apache-Logformaten zu extrahieren.

Hinweise

  • Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
  • Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
  • Prüfen Sie, ob Sie privilegierten Zugriff auf eine Apache-Instanz haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

  1. Greifen Sie auf die Konfigurationsdatei zu:

    1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'APACHE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

    net stop BindPlaneAgent && net start BindPlaneAgent

Syslog in Apache konfigurieren

  1. Melden Sie sich über SSH auf dem Ubuntu-Server an.

  2. Erstellen Sie unter /etc/rsyslog.d/ eine Datei mit dem Namen 02-apache2.conf:

    vim /etc/rsyslog.d/02-apache2.conf

  3. Fügen Sie den folgenden Code in die Datei ein:

    module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/access.log"
        Tag="http_access"
        Severity="info"
        Facility="local6")
Local6.info        @<bindplane-agnet-ip>:<vindplane-agent-port>
module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/error.log"
        Tag="http_error"
    • Ersetzen Sie bindplane-agent-ip> und bindplane-agent-port durch die für den Bindplane-Agent konfigurierten IP-Adresse und den Port.
    • Wenn Sie das TCP-Protokoll verwenden, hängen Sie der Hostzeile ein zusätzliches @ an, sodass sie so aussieht: @@<bindplane-agnet-ip>:<vindplane-agent-port>.

  4. Starten Sie die RSyslog-Dienste neu:

    sudo service rsyslog restart

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Byte network.received_bytes Vom Client empfangene Bytes.
Byte network.sent_bytes An den Client gesendete Byte.
bytes_out network.sent_bytes An den Client gesendete Byte.
bytes_received network.received_bytes Vom Client empfangene Bytes.
Inhalt network.http.method HTTP-Methode, die aus dem Feld „Inhalt“ extrahiert wurde.
Inhalt target.url Die Ziel-URL wurde aus dem Feld „Inhalt“ extrahiert.
Keks additional.fields.value.string_value Wert des Felds „cookie“.
dest_ip target.ip IP-Adresse des Ziels.
dest_name target.hostname Hostname des Ziels.
dest_port target.port Port des Ziels.
description metadata.description Beschreibung des Ereignisses.
duration_microseconds additional.fields.value.string_value Wert des Felds „duration_microseconds“.
file_full_path target.file.full_path Vollständiger Pfad der Zieldatei.
Hostname target.hostname Hostname des Ziels.
http_content_type additional.fields.value.string_value Wert des Felds „http_content_type“.
http_host principal.hostname Hostname des Prinzipal.
http_method network.http.method HTTP-Methode.
http_referrer network.http.referral_url HTTP-Verweis-URL
http_user_agent network.http.user_agent HTTP-User-Agent.
ID metadata.id ID des Ereignisses.
insertId metadata.product_log_id Produkt-Log-ID.
ip principal.ip IP-Adresse des Hauptkontos.
jsonPayload.cIP target.ip IP-Adresse des Ziels.
jsonPayload.cPort target.port Port des Ziels.
jsonPayload.csBytes network.sent_bytes An den Client gesendete Byte.
jsonPayload.csMethod network.http.method HTTP-Methode.
jsonPayload.csMimeType target.file.mime_type MIME-Typ der Zieldatei.
jsonPayload.csReferer network.http.referral_url HTTP-Verweis-URL
jsonPayload.csURL target.url Ziel-URL.
jsonPayload.csUserAgent network.http.user_agent HTTP-User-Agent.
jsonPayload.sHierarchy additional.fields.value.string_value Wert des Felds „sHierarchy“.
jsonPayload.sHostname principal.hostname Hostname des Prinzipal.
jsonPayload.sIP principal.ip IP-Adresse des Hauptkontos.
jsonPayload.scBytes network.received_bytes Vom Client empfangene Bytes.
jsonPayload.scHTTPStatus network.http.response_code HTTP-Antwortcode.
jsonPayload.scResultCode additional.fields.value.string_value Wert des Felds „scResultCode“.
LastStatus network.http.response_code HTTP-Antwortcode.
log_level security_result.severity Schweregrad des Sicherheitsergebnisses.
logName security_result.category_details Kategoriedetails des Sicherheitsergebnisses.
Methode network.http.method HTTP-Methode.
pid principal.process.pid Prozess-ID des Prinzipal.
Port target.port Port des Ziels.
Proto network.application_protocol Anwendungsprotokoll.
Referrer network.http.referral_url HTTP-Verweis-URL
RemoteHost principal.ip IP-Adresse des Hauptkontos.
RemoteUser principal.user.userid Nutzer-ID des Prinzipal.
resource.labels.instance_id target.resource.product_object_id Produktobjekt-ID der Zielressource.
resource.labels.project_id target.resource.attribute.labels.value Wert des Labels „project_id“.
resource.labels.zone target.resource.attribute.cloud.availability_zone Verfügbarkeitszone der Zielressource.
resource.type target.resource.resource_type Ressourcentyp des Ziels.
Antwort network.http.response_code HTTP-Antwortcode.
SizeBytes network.received_bytes Vom Client empfangene Bytes.
src_ip principal.ip IP-Adresse des Hauptkontos.
src_port principal.port Port des Hauptkontos.
ssl_cipher network.tls.cipher TLS-Chiffre.
ssl_version network.tls.version_protocol TLS-Version des Protokolls.
Status network.http.response_code HTTP-Antwortcode.
Ziel target.url Ziel-URL.
target_ip target.ip IP-Adresse des Ziels.
target_port target.port Port des Ziels.
Zeit metadata.event_timestamp Zeitstempel des Ereignisses.
uri_path target.process.file.full_path Vollständiger Pfad der Zieldatei.
Nutzer principal.user.userid Nutzer-ID des Prinzipal.
useragent network.http.user_agent HTTP-User-Agent.
version_protocol network.tls.version_protocol TLS-Version des Protokolls.
Workername principal.hostname Hostname des Prinzipal.
x_forwarded_for Wert des Headers „X-Forwarded-For“.
metadata.log_type Der Wert wird im Parsercode auf „APACHE“ festgelegt.
metadata.product_name Der Wert wird im Parsercode auf „Apache Web Server“ festgelegt.
metadata.vendor_name Der Wert wird im Parsercode auf „Apache“ festgelegt.
metadata.event_type Der Wert wird anhand der vorhandenen Informationen zu Haupt- und Zielvorhaben bestimmt. Wenn sowohl „principal“ als auch „target“ vorhanden sind, wird der Ereignistyp auf „NETWORK_HTTP“ festgelegt. Wenn nur das Hauptkonto vorhanden ist, wird der Ereignistyp auf „STATUS_UPDATE“ festgelegt. Andernfalls wird er auf „GENERIC_EVENT“ gesetzt.
additional.fields.key Der Schlüssel wird im Parsercode basierend auf dem Feld auf „keep_alive“, „duration_microseconds“, „cookie“, „http_content_type“, „sHierarchy“ und „scResultCode“ festgelegt.
target.port Wenn das Feld „proto“ auf „HTTP“ gesetzt ist, wird der Port auf 80 festgelegt. Wenn das Feld „proto“ auf „HTTPS“ festgelegt ist, wird der Port auf 443 gesetzt. Wenn das Feld „proto“ auf „FTP“ festgelegt ist, wird der Port auf 21 gesetzt.
target.resource.attribute.labels.key Der Schlüssel ist im Parsercode auf „project_id“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten