このページは Cloud Translation API によって翻訳されました。

Apache のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Apache ログを Google Security Operations に取り込む方法について説明します。パーサーコードは、まず未加工のログメッセージを JSON として解析しようとします。失敗した場合は、一般的な Apache ログ形式に基づいて、正規表現（grok パターン）を使用してメッセージからフィールドを抽出します。

始める前に

Google SecOps インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Apache インスタンスに対する特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'APACHE'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Apache で Syslog を構成する

SSH を使用して Ubuntu サーバーにログインします。
/etc/rsyslog.d/ の下に 02-apache2.conf という名前のファイルを作成します。
```
vim /etc/rsyslog.d/02-apache2.conf
```

ファイルに次のコードを追加します。

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/access.log"
        Tag="http_access"
        Severity="info"
        Facility="local6")
Local6.info        @<bindplane-agnet-ip>:<vindplane-agent-port>
module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")
input(type="imfile"
        File="/var/log/apache2/error.log"
        Tag="http_error"

bindplane-agent-ip> と bindplane-agent-port は、Bindplane エージェント用に構成された IP アドレスとポートに置き換えます。
TCP プロトコルを使用している場合は、ホスト行に @ を追加して、@@<bindplane-agnet-ip>:<vindplane-agent-port> のようにします。

RSyslog サービスを再起動します。
```
sudo service rsyslog restart
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
バイト	network.received_bytes	クライアントから受信したバイト数。
バイト	network.sent_bytes	クライアントに送信されたバイト数。
bytes_out	network.sent_bytes	クライアントに送信されたバイト数。
bytes_received	network.received_bytes	クライアントから受信したバイト数。
コンテンツ	network.http.method	「Content」フィールドから抽出された HTTP メソッド。
コンテンツ	target.url	「Content」フィールドから抽出されたターゲット URL。
クッキー	additional.fields.value.string_value	「cookie」フィールドの値。
dest_ip	target.ip	ターゲットの IP アドレス。
dest_name	target.hostname	ターゲットのホスト名。
dest_port	target.port	ターゲットのポート。
説明	metadata.description	イベントの説明。
duration_microseconds	additional.fields.value.string_value	「duration_microseconds」フィールドの値。
file_full_path	target.file.full_path	ターゲットファイルのフルパス。
hostname	target.hostname	ターゲットのホスト名。
http_content_type	additional.fields.value.string_value	「http_content_type」フィールドの値。
http_host	principal.hostname	プリンシパルのホスト名。
http_method	network.http.method	HTTP メソッド。
http_referrer	network.http.referral_url	HTTP リファラー URL。
http_user_agent	network.http.user_agent	HTTP ユーザーエージェント。
ID	metadata.id	イベントの ID。
insertId	metadata.product_log_id	プロダクトログ ID。
ip	principal.ip	プリンシパルの IP アドレス。
jsonPayload.cIP	target.ip	ターゲットの IP アドレス。
jsonPayload.cPort	target.port	ターゲットのポート。
jsonPayload.csBytes	network.sent_bytes	クライアントに送信されたバイト数。
jsonPayload.csMethod	network.http.method	HTTP メソッド。
jsonPayload.csMimeType	target.file.mime_type	ターゲットファイルの MIME タイプ。
jsonPayload.csReferer	network.http.referral_url	HTTP リファラー URL。
jsonPayload.csURL	target.url	ターゲット URL。
jsonPayload.csUserAgent	network.http.user_agent	HTTP ユーザーエージェント。
jsonPayload.sHierarchy	additional.fields.value.string_value	「sHierarchy」フィールドの値。
jsonPayload.sHostname	principal.hostname	プリンシパルのホスト名。
jsonPayload.sIP	principal.ip	プリンシパルの IP アドレス。
jsonPayload.scBytes	network.received_bytes	クライアントから受信したバイト数。
jsonPayload.scHTTPStatus	network.http.response_code	HTTP レスポンスコード。
jsonPayload.scResultCode	additional.fields.value.string_value	「scResultCode」フィールドの値。
LastStatus	network.http.response_code	HTTP レスポンスコード。
log_level	security_result.severity	セキュリティ結果の重大度。
logName	security_result.category_details	セキュリティ結果のカテゴリの詳細。
method	network.http.method	HTTP メソッド。
pid	principal.process.pid	プリンシパルのプロセス ID。
ポート	target.port	ターゲットのポート。
proto	network.application_protocol	アプリケーションプロトコル。
リファラー	network.http.referral_url	HTTP リファラー URL。
RemoteHost	principal.ip	プリンシパルの IP アドレス。
RemoteUser	principal.user.userid	プリンシパルのユーザー ID。
resource.labels.instance_id	target.resource.product_object_id	ターゲットリソースのプロダクトオブジェクト ID。
resource.labels.project_id	target.resource.attribute.labels.value	「project_id」ラベルの値。
resource.labels.zone	target.resource.attribute.cloud.availability_zone	ターゲットリソースのアベイラビリティゾーン。
resource.type	target.resource.resource_type	ターゲットのリソースタイプ。
レスポンス	network.http.response_code	HTTP レスポンスコード。
SizeBytes	network.received_bytes	クライアントから受信したバイト数。
src_ip	principal.ip	プリンシパルの IP アドレス。
src_port	principal.port	プリンシパルのポート。
ssl_cipher	network.tls.cipher	TLS 暗号。
ssl_version	network.tls.version_protocol	TLS バージョンプロトコル。
ステータス	network.http.response_code	HTTP レスポンスコード。
ターゲット	target.url	ターゲット URL。
target_ip	target.ip	ターゲットの IP アドレス。
target_port	target.port	ターゲットのポート。
時間	metadata.event_timestamp	イベントのタイムスタンプ。
uri_path	target.process.file.full_path	ターゲットファイルのフルパス。
ユーザー	principal.user.userid	プリンシパルのユーザー ID。
useragent	network.http.user_agent	HTTP ユーザーエージェント。
version_protocol	network.tls.version_protocol	TLS バージョンプロトコル。
Workername	principal.hostname	プリンシパルのホスト名。
x_forwarded_for		「X-Forwarded-For」ヘッダーの値。
	metadata.log_type	パーサーコードで値は「APACHE」に設定されます。
	metadata.product_name	パーサーコードで「Apache Web Server」に設定されます。
	metadata.vendor_name	パーサーコードで「Apache」に設定されます。
	metadata.event_type	この値は、プリンシパルとターゲットの情報が存在するかどうかによって決まります。プリンシパルとターゲットの両方が存在する場合、イベントタイプは「NETWORK_HTTP」に設定されます。プリンシパルのみが存在する場合、イベントタイプは「STATUS_UPDATE」に設定されます。それ以外の場合は、「GENERIC_EVENT」に設定されます。
	additional.fields.key	キーは、フィールドに基づいてパーサーコードで「keep_alive」、「duration_microseconds」、「cookie」、「http_content_type」、「sHierarchy」、「scResultCode」に設定されます。
	target.port	「proto」フィールドが「HTTP」の場合、ポートは 80 に設定されます。「proto」フィールドが「HTTPS」の場合、ポートは 443 に設定されます。「proto」フィールドが「FTP」の場合、ポートは 21 に設定されます。
	target.resource.attribute.labels.key	キーはパーサーコードで「project_id」に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。