Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Apache

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Apache dans Google Security Operations à l'aide de Bindplane. Le code de l'analyseur tente d'abord d'analyser le message de journal brut au format JSON. Si cela échoue, il utilise des expressions régulières (modèles grok) pour extraire les champs du message en fonction des formats de journaux Apache courants.

Avant de commencer

Assurez-vous de disposer d'une instance Google SecOps.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à une instance Apache.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'APACHE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurer Syslog dans Apache

Connectez-vous au serveur Ubuntu à l'aide de SSH.
Créez un fichier nommé 02-apache2.conf sous /etc/rsyslog.d/ :
```
vim /etc/rsyslog.d/02-apache2.conf
```

Ajoutez le code suivant au fichier :

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/access.log"
        Tag="http_access"
        Severity="info"
        Facility="local6")
Local6.info        @<bindplane-agnet-ip>:<vindplane-agent-port>
module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/error.log"
        Tag="http_error"

Remplacez bindplane-agent-ip> et bindplane-agent-port par l'adresse IP et le port configurés pour l'agent Bindplane.
Si vous utilisez le protocole TCP, ajoutez un @ à la ligne de l'hôte pour qu'elle ressemble à ceci : @@<bindplane-agnet-ip>:<vindplane-agent-port>.

Redémarrez les services RSyslog :
```
sudo service rsyslog restart
```

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
bytes	network.received_bytes	Octets reçus du client.
bytes	network.sent_bytes	Octets envoyés au client.
bytes_out	network.sent_bytes	Octets envoyés au client.
bytes_received	network.received_bytes	Octets reçus du client.
Contenu	network.http.method	Méthode HTTP extraite du champ "Contenu".
Contenu	target.url	URL cible extraite du champ "Contenu".
biscuit	additional.fields.value.string_value	Valeur du champ "cookie".
dest_ip	target.ip	Adresse IP de la cible.
dest_name	target.hostname	Nom d'hôte de la cible.
dest_port	target.port	Port de la cible.
description	metadata.description	Description de l'événement.
duration_microseconds	additional.fields.value.string_value	Valeur du champ "duration_microseconds".
file_full_path	target.file.full_path	Chemin d'accès complet au fichier cible.
nom d'hôte	target.hostname	Nom d'hôte de la cible.
http_content_type	additional.fields.value.string_value	Valeur du champ "http_content_type".
http_host	principal.hostname	Nom d'hôte du principal.
http_method	network.http.method	Méthode HTTP.
http_referrer	network.http.referral_url	URL de provenance HTTP.
http_user_agent	network.http.user_agent	User-agent HTTP.
ID	metadata.id	ID de l'événement.
insertId	metadata.product_log_id	ID du journal du produit.
ip	principal.ip	Adresse IP du compte principal.
jsonPayload.cIP	target.ip	Adresse IP de la cible.
jsonPayload.cPort	target.port	Port de la cible.
jsonPayload.csBytes	network.sent_bytes	Octets envoyés au client.
jsonPayload.csMethod	network.http.method	Méthode HTTP.
jsonPayload.csMimeType	target.file.mime_type	Type MIME du fichier cible.
jsonPayload.csReferer	network.http.referral_url	URL de provenance HTTP.
jsonPayload.csURL	target.url	URL cible.
jsonPayload.csUserAgent	network.http.user_agent	User-agent HTTP.
jsonPayload.sHierarchy	additional.fields.value.string_value	Valeur du champ "sHierarchy".
jsonPayload.sHostname	principal.hostname	Nom d'hôte du principal.
jsonPayload.sIP	principal.ip	Adresse IP du compte principal.
jsonPayload.scBytes	network.received_bytes	Octets reçus du client.
jsonPayload.scHTTPStatus	network.http.response_code	Code de réponse HTTP.
jsonPayload.scResultCode	additional.fields.value.string_value	Valeur du champ "scResultCode".
LastStatus	network.http.response_code	Code de réponse HTTP.
log_level	security_result.severity	Gravité du résultat de sécurité.
logName	security_result.category_details	Détails de la catégorie du résultat de sécurité.
méthode	network.http.method	Méthode HTTP.
pid	principal.process.pid	ID de processus du compte principal.
Port	target.port	Port de la cible.
proto	network.application_protocol	Protocole d'application.
URL de provenance	network.http.referral_url	URL de provenance HTTP.
RemoteHost	principal.ip	Adresse IP du compte principal.
RemoteUser	principal.user.userid	ID utilisateur du principal.
resource.labels.instance_id	target.resource.product_object_id	ID d'objet produit de la ressource cible.
resource.labels.project_id	target.resource.attribute.labels.value	Valeur du libellé "project_id".
resource.labels.zone	target.resource.attribute.cloud.availability_zone	Zone de disponibilité de la ressource cible.
resource.type	target.resource.resource_type	Type de ressource de la cible.
réponse	network.http.response_code	Code de réponse HTTP.
SizeBytes	network.received_bytes	Octets reçus du client.
src_ip	principal.ip	Adresse IP du compte principal.
src_port	principal.port	Port du principal.
ssl_cipher	network.tls.cipher	Algorithme de chiffrement TLS.
ssl_version	network.tls.version_protocol	Protocole de version TLS.
état	network.http.response_code	Code de réponse HTTP.
cible	target.url	URL cible.
target_ip	target.ip	Adresse IP de la cible.
target_port	target.port	Port de la cible.
temps	metadata.event_timestamp	Horodatage de l'événement.
uri_path	target.process.file.full_path	Chemin d'accès complet au fichier cible.
utilisateur	principal.user.userid	ID utilisateur du principal.
User-agent	network.http.user_agent	User-agent HTTP.
version_protocol	network.tls.version_protocol	Protocole de version TLS.
Nom du nœud de calcul	principal.hostname	Nom d'hôte du principal.
x_forwarded_for		Valeur de l'en-tête "X-Forwarded-For".
	metadata.log_type	La valeur est définie sur "APACHE" dans le code du parseur.
	metadata.product_name	La valeur est définie sur "Apache Web Server" dans le code du parseur.
	metadata.vendor_name	La valeur est définie sur "Apache" dans le code du parseur.
	metadata.event_type	La valeur est déterminée en fonction de la présence d'informations sur le principal et la cible. Si le principal et la cible sont tous les deux présents, le type d'événement est défini sur "NETWORK_HTTP". Si seul le principal est présent, le type d'événement est défini sur "STATUS_UPDATE". Sinon, la valeur est définie sur "GENERIC_EVENT".
	additional.fields.key	La clé est définie sur "keep_alive", "duration_microseconds", "cookie", "http_content_type", "sHierarchy" ou "scResultCode" dans le code du parseur en fonction du champ.
	target.port	Si le champ "proto" est défini sur "HTTP", le port est défini sur 80. Si le champ "proto" est défini sur "HTTPS", le port est défini sur 443. Si le champ "proto" est défini sur "FTP", le port est défini sur 21.
	target.resource.attribute.labels.key	La clé est définie sur "project_id" dans le code du parseur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.