Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Apache

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Apache a Google Security Operations con Bindplane. Primero, el código del analizador intenta analizar el mensaje de registro sin procesar como JSON. Si eso falla, usa expresiones regulares (patrones grok) para extraer campos del mensaje según los formatos de registro de Apache comunes.

Antes de comenzar

Asegúrate de tener una instancia de Google SecOps.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a una instancia de Apache.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'APACHE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura Syslog en Apache

Accede al servidor de Ubuntu con SSH.
Crea un archivo en /etc/rsyslog.d/ llamado 02-apache2.conf:
```
vim /etc/rsyslog.d/02-apache2.conf
```

Agrega el siguiente código al archivo:

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/access.log"
        Tag="http_access"
        Severity="info"
        Facility="local6")
Local6.info        @<bindplane-agnet-ip>:<vindplane-agent-port>
module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/error.log"
        Tag="http_error"

Reemplaza bindplane-agent-ip> y bindplane-agent-port por la dirección IP y el puerto configurados para el agente de Bindplane.
Si usas el protocolo TCP, agrega un @ adicional a la línea del host para que se vea de la siguiente manera: @@<bindplane-agnet-ip>:<vindplane-agent-port>.

Reinicia los servicios de RSyslog:
```
sudo service rsyslog restart
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
bytes	network.received_bytes	Son los bytes recibidos del cliente.
bytes	network.sent_bytes	Son los bytes enviados al cliente.
bytes_out	network.sent_bytes	Son los bytes enviados al cliente.
bytes_received	network.received_bytes	Son los bytes recibidos del cliente.
Contenido	network.http.method	Es el método HTTP que se extrae del campo "Content".
Contenido	target.url	Es la URL de destino extraída del campo "Contenido".
galleta	additional.fields.value.string_value	Valor del campo "cookie".
dest_ip	target.ip	Es la dirección IP del objetivo.
dest_name	target.hostname	Es el nombre de host del destino.
dest_port	target.port	Es el puerto del destino.
descripción	metadata.description	Es la descripción del evento.
duration_microseconds	additional.fields.value.string_value	Es el valor del campo "duration_microseconds".
file_full_path	target.file.full_path	Ruta de acceso completa del archivo de destino.
Nombre de host	target.hostname	Es el nombre de host del destino.
http_content_type	additional.fields.value.string_value	Es el valor del campo "http_content_type".
http_host	principal.hostname	Es el nombre de host de la principal.
http_method	network.http.method	Método HTTP.
http_referrer	network.http.referral_url	Es la URL de referencia HTTP.
http_user_agent	network.http.user_agent	Es el usuario-agente HTTP.
ID	metadata.id	Es el ID del evento.
insertId	metadata.product_log_id	Es el ID del registro del producto.
ip	principal.ip	Es la dirección IP de la principal.
jsonPayload.cIP	target.ip	Es la dirección IP del objetivo.
jsonPayload.cPort	target.port	Es el puerto del destino.
jsonPayload.csBytes	network.sent_bytes	Son los bytes enviados al cliente.
jsonPayload.csMethod	network.http.method	Método HTTP.
jsonPayload.csMimeType	target.file.mime_type	Tipo de MIME del archivo de destino.
jsonPayload.csReferer	network.http.referral_url	Es la URL de referencia HTTP.
jsonPayload.csURL	target.url	Es la URL de destino.
jsonPayload.csUserAgent	network.http.user_agent	Es el usuario-agente HTTP.
jsonPayload.sHierarchy	additional.fields.value.string_value	Valor del campo "sHierarchy".
jsonPayload.sHostname	principal.hostname	Es el nombre de host de la principal.
jsonPayload.sIP	principal.ip	Es la dirección IP de la principal.
jsonPayload.scBytes	network.received_bytes	Son los bytes recibidos del cliente.
jsonPayload.scHTTPStatus	network.http.response_code	Es el código de respuesta HTTP.
jsonPayload.scResultCode	additional.fields.value.string_value	Es el valor del campo "scResultCode".
LastStatus	network.http.response_code	Es el código de respuesta HTTP.
log_level	security_result.severity	Es la gravedad del resultado de seguridad.
logName	security_result.category_details	Son los detalles de la categoría del resultado de seguridad.
método	network.http.method	Método HTTP.
pid	principal.process.pid	ID de proceso de la entidad principal.
Puerto	target.port	Es el puerto del destino.
protocolo	network.application_protocol	Es el protocolo de la aplicación.
Referencia	network.http.referral_url	Es la URL de referencia HTTP.
RemoteHost	principal.ip	Es la dirección IP de la principal.
RemoteUser	principal.user.userid	ID de usuario de la principal.
resource.labels.instance_id	target.resource.product_object_id	Es el ID del objeto del producto del recurso de destino.
resource.labels.project_id	target.resource.attribute.labels.value	Es el valor de la etiqueta "project_id".
resource.labels.zone	target.resource.attribute.cloud.availability_zone	Zona de disponibilidad del recurso de destino.
resource.type	target.resource.resource_type	Es el tipo de recurso del destino.
respuesta	network.http.response_code	Es el código de respuesta HTTP.
SizeBytes	network.received_bytes	Son los bytes recibidos del cliente.
src_ip	principal.ip	Es la dirección IP de la principal.
src_port	principal.port	Es el puerto de la entidad principal.
ssl_cipher	network.tls.cipher	Es el algoritmo de cifrado TLS.
ssl_version	network.tls.version_protocol	Protocolo de versión de TLS.
estado	network.http.response_code	Es el código de respuesta HTTP.
objetivo	target.url	Es la URL de destino.
target_ip	target.ip	Es la dirección IP del objetivo.
target_port	target.port	Es el puerto del destino.
hora	metadata.event_timestamp	Es la marca de tiempo del evento.
uri_path	target.process.file.full_path	Ruta de acceso completa del archivo de destino.
usuario	principal.user.userid	ID de usuario de la principal.
usuario-agente	network.http.user_agent	Es el usuario-agente HTTP.
version_protocol	network.tls.version_protocol	Protocolo de versión de TLS.
Nombre del trabajador	principal.hostname	Es el nombre de host de la principal.
x_forwarded_for		Valor del encabezado “X-Forwarded-For”.
	metadata.log_type	El valor se establece en "APACHE" en el código del analizador.
	metadata.product_name	El valor se establece en "Servidor web Apache" en el código del analizador.
	metadata.vendor_name	El valor se establece en "Apache" en el código del analizador.
	metadata.event_type	El valor se determina según la presencia de información del principal y del objetivo. Si tanto la entidad principal como el destino están presentes, el tipo de evento se establece en "NETWORK_HTTP". Si solo está presente la principal, el tipo de evento se establece en "STATUS_UPDATE". De lo contrario, se establece como "GENERIC_EVENT".
	additional.fields.key	La clave se establece en "keep_alive", "duration_microseconds", "cookie", "http_content_type", "sHierarchy", "scResultCode" en el código del analizador según el campo.
	target.port	Si el campo "proto" es "HTTP", el puerto se establece en 80. Si el campo "proto" es "HTTPS", el puerto se establece en 443. Si el campo "proto" es "FTP", el puerto se establece en 21.
	target.resource.attribute.labels.key	La clave se establece en "project_id" en el código del analizador.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.