Mengumpulkan log Azure API Management

Didukung di:

Dokumen ini menjelaskan cara mengekspor log Azure API Management ke Google Security Operations menggunakan Akun Azure Storage.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Tenant Azure yang aktif
  • Akses istimewa ke Azure

Mengonfigurasi Akun Azure Storage

  1. Di konsol Azure, cari Storage accounts.
  2. Klik + Create.
  3. Tentukan nilai untuk parameter input berikut:
    • Langganan: Pilih langganan.
    • Grup Resource: Pilih grup resource.
    • Region: Pilih region.
    • Performa: Pilih performa (Standar direkomendasikan).
    • Redundansi: Pilih redundansi (GRS atau LRS direkomendasikan).
    • Nama akun penyimpanan: Masukkan nama untuk akun penyimpanan baru.
  4. Klik Review + create.
  5. Tinjau ringkasan akun, lalu klik Buat.
  6. Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
  7. Klik Tampilkan di samping key1 atau key2.
  8. Klik Salin ke papan klip untuk menyalin kunci.
  9. Simpan kunci di lokasi yang aman untuk digunakan nanti.
  10. Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
  11. Klik Salin ke papan klip untuk menyalin URL endpoint Blob service; misalnya, https://<storageaccountname>.blob.core.windows.net.
  12. Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.

Cara mengonfigurasi Ekspor Log untuk Log Azure API Management

  1. Login ke Portal Azure menggunakan akun istimewa Anda.
  2. Di portal Azure, temukan dan pilih instance layanan API Management.
  3. Pilih Monitoring > Setelan diagnostik.
  4. Klik + Tambahkan setelan diagnostik.
    • Masukkan nama deskriptif untuk setelan diagnostik.
  5. Pilih Log yang terkait dengan ApiManagement Gateway.
  6. Centang kotak Archive to a storage account sebagai tujuan.
    • Tentukan Subscription dan Storage Account.
  7. Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama untuk feed; misalnya, Azure API Management Logs.
  5. Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
  6. Pilih Azure API Management sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • URI Azure: URL endpoint blob.
      • ENDPOINT_URL/BLOB_NAME
        • Ganti kode berikut:
          • ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)
          • BLOB_NAME: Nama blob (seperti, insights-logs-<logname>)
    • URI adalah: Pilih JENIS URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Shared key: Kunci akses ke Azure Blob Storage.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • URI Azure: URL endpoint blob.
    • ENDPOINT_URL/BLOB_NAME
      • Ganti kode berikut:
        • ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net)
        • BLOB_NAME: Nama blob (seperti, insights-logs-<logname>)
  • URI adalah: Pilih JENIS URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
  • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.
  • Shared key: Kunci akses ke Azure Blob Storage.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.