Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log F5 BIG-IP APM

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log F5 BIG-IP Access Policy Manager (APM) menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke dalam format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan F5_BIGIP_APM.

Mengonfigurasi F5 BIG-IP APM

Login ke portal utilitas konfigurasi BIG-IP menggunakan kredensial administrator.
Pilih Main > System > Logs > Configuration > Remote logging.
Di bagian Properties, lakukan langkah berikut:
- Di kolom Remote IP, masukkan alamat IP penerusan Google Security Operations.
- Di kolom Remote port, masukkan nomor port tinggi.
Klik Tambahkan.

Klik Perbarui.

Untuk log dari APM, hanya format syslog Berkeley Software Distribution (BSD) yang didukung.

Berdasarkan tanda tangan di APM, pengumpul hanya memproses log APM. Pengumpul peristiwa F5 BIG-IP APM juga mendukung log multi-threading dari perangkat LTM 11.6 hingga 12.1.1.

Jika Anda menggunakan iRule, gunakan format iRule yang direkomendasikan. Google Security Operations hanya mendukung format iRule berikut:

# log_header_requests
###################################################################################
#################################################
# Purpose: logs header information to Local Traffic log
# #
#
# Update-Log Date By Description
# Created 02/07/2020 E01961 Initial implementation
#
#
###################################################################################
################################################
when HTTP_REQUEST {
set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host]
[HTTP::uri]"
log local5. "================="
log local5. "$LogString (request)"
foreach aHeader [HTTP::header names] {
log local5. "$aHeader: [HTTP::header value $aHeader]"
}
# set UserID [URI::query "?[HTTP::payload]" "UserID"]
# log local0. "User $UserID attempted login from [IP::client_addr] and referer:
[HTTP::header "Referer"]"
# log local0. "============================================="
}
when HTTP_RESPONSE {
log local5. "=================="
log local5. "$LogString (response) - status: [HTTP::status]"
foreach aHeader [HTTP::header names] {
log local5. "$aHeader: [HTTP::header value $aHeader]"
}
# log local0. "============================================="

Mengonfigurasi DNS F5 BIG-IP

Untuk mengonfigurasi DNS F5 BIG-IP, lakukan tugas berikut:

Buat kumpulan server logging jarak jauh.
Buat tujuan log berkecepatan tinggi jarak jauh.
Buat tujuan log berkecepatan tinggi jarak jauh yang diformat.
Buat penayang.
Buat profil logging DNS kustom.
Tambahkan profil logging DNS ke pemroses.

Membuat kumpulan server logging jarak jauh

Di tab Main, pilih DNS > Delivery > Load balancing > Pools or local traffic > Pools.
Di jendela Daftar kumpulan yang muncul, klik Buat.
Di jendela New pool yang muncul, di kolom Name, berikan nama unik untuk pool.
Di bagian Anggota baru, tambahkan alamat IP untuk setiap server logging jarak jauh yang ingin Anda sertakan dalam kumpulan:
1. Di kolom Alamat, masukkan alamat IP penerusan Google Security Operations atau pilih alamat node dari daftar node.
2. Di kolom Service port, ketik nomor layanan atau pilih nama layanan dari daftar. Pastikan Anda telah mengonfigurasi port logging jarak jauh yang benar.
Klik Tambahkan, lalu klik Selesai.

Membuat tujuan log berkecepatan tinggi jarak jauh

Di tab Utama, pilih Sistem > Log > Konfigurasi > Tujuan log.
Di jendela Tujuan log yang muncul, klik Buat.
Di kolom Nama, berikan nama yang unik dan mudah dikenali untuk tujuan ini.
Di daftar Type, pilih Remote high-speed log.
Dalam daftar Pool name, pilih kumpulan server log jarak jauh yang ingin Anda gunakan untuk mengirim pesan log dari sistem BIG-IP.
Di daftar Protokol, pilih protokol yang digunakan oleh anggota pool pencatatan log berkecepatan tinggi.
Klik Selesai.

Membuat tujuan log berkecepatan tinggi jarak jauh yang diformat

Di tab Utama, pilih Sistem > Log > Konfigurasi > Tujuan Log.
Di jendela Tujuan log yang muncul, klik Buat.
Di kolom Nama, berikan nama yang unik dan mudah dikenali untuk tujuan ini.
Di daftar Type, pilih tujuan logging yang diformat sebagai Remote syslog. Sistem BIG-IP kini dikonfigurasi untuk mengirim string teks yang diformat ke server log.
Dalam daftar Type, pilih format untuk log.
Di tab Teruskan Ke, pilih daftar Tujuan log berkecepatan tinggi, lalu pilih tujuan yang mengarah ke kumpulan server syslog jarak jauh yang ingin Anda gunakan untuk mengirim pesan log dari sistem BIG-IP.
Klik Selesai.

Membuat penayang

Di tab Utama, pilih Sistem > Log > Konfigurasi > Penerbit log.
Di jendela Log publishers yang muncul, klik Create.
Di kolom Nama, berikan nama yang unik dan mudah diidentifikasi untuk penayang.
Dalam daftar Log publisher, pilih tujuan yang dibuat sebelumnya dari daftar yang tersedia.
Untuk memindahkan tujuan ke daftar yang dipilih, klik << Pindahkan.
Jika Anda menggunakan tujuan yang diformat, pilih tujuan yang baru dibuat dan cocok dengan server log Anda, seperti Remote syslog, Splunk, atau ArcSight.
Klik Selesai.

Membuat profil logging DNS kustom

Di tab Main, pilih DNS > Delivery > Profiles > Other DNS Logging atau Local traffic > Profiles > Others > DNS logging.
Di jendela DNS Logging profile list yang muncul, klik Create.
Di kolom Nama, berikan nama unik untuk profil.
Dalam daftar Log publisher, pilih tujuan tempat sistem BIG-IP mengirim entri log DNS.
Jika Anda menginginkan sistem BIG-IP:
- Untuk mencatat semua kueri DNS, dari setelan Log queries, pastikan kotak centang diaktifkan dipilih.
- Untuk mencatat semua respons DNS, dari setelan Log respons, pilih kotak centang yang diaktifkan.
- Untuk menyertakan ID kueri yang dikirim oleh klien dalam pesan log, dari setelan Sertakan ID kueri, pilih kotak centang yang diaktifkan.
Klik Selesai.

Menambahkan profil logging DNS ke pemroses

Di tab Main, pilih DNS > Delivery > Listeners > DNS listener.
Di bagian Service, dari daftar DNS profile, pilih profil DNS yang sebelumnya Anda konfigurasi.
Klik Perbarui.

Mengonfigurasi penerusan Google Security Operations untuk menyerap log F5 BIG-IP APM

Buka Setelan SIEM > Pengirim.
Klik Tambahkan penerusan baru.
Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Nama pengumpul, ketik nama.
Pilih F5 BIGIP Access Policy Manager sebagai Jenis log.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input wajib berikut:
- Protocol: tentukan protokol.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan alamat ke data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser F5 BIG-IP APM ini mengekstrak kolom dari pesan syslog, mengategorikannya berdasarkan sumber aplikasi (tmsh, tmm, apmd, httpd, atau lainnya). Kemudian, kolom yang diekstrak ini dipetakan ke UDM, menangani berbagai format log, dan memperkaya data dengan metadata seperti tingkat keparahan, lokasi, dan informasi pengguna.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
application	principal.application	Nilai diambil dari kolom `application` yang diekstrak oleh filter grok.
bytes_in	network.received_bytes	Nilai diambil dari kolom `bytes_in` yang diekstrak oleh filter grok dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
bytes_out	network.sent_bytes	Nilai diambil dari kolom `bytes_out` yang diekstrak oleh filter grok dan dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
cmd_data	principal.process.command_line	Nilai diambil dari kolom `cmd_data` yang diekstrak oleh filter kv.
destination_ip	target.ip	Nilai diambil dari kolom `destination_ip` yang diekstrak oleh filter grok.
destination_port	target.port	Nilai diambil dari kolom `destination_port` yang diekstrak oleh filter grok dan dikonversi menjadi bilangan bulat.
folder	principal.process.file.full_path	Nilai diambil dari kolom `folder` yang diekstrak oleh filter kv.
geoCountry	principal.location.country_or_region	Nilai diambil dari kolom `geoCountry` yang diekstrak oleh filter grok.
geoState	principal.location.state	Nilai diambil dari kolom `geoState` yang diekstrak oleh filter grok.
inner_msg	security_result.description	Nilai diambil dari kolom `inner_msg` yang diekstrak oleh filter grok jika tidak ada deskripsi spesifik lainnya.
ip_protocol	network.ip_protocol	Nilai diambil dari kolom `ip_protocol` yang diekstrak oleh filter grok.
principal_hostname	principal.hostname	Nilai diambil dari kolom `principal_hostname` yang diekstrak oleh filter grok.
principal_ip	principal.ip	Nilai diambil dari kolom `principal_ip` yang diekstrak oleh filter grok.
process_id	principal.process.pid	Nilai diambil dari kolom `process_id` yang diekstrak oleh filter grok.
peran	user_role.name	Nilai diambil dari kolom `role` yang diekstrak oleh filter grok. Jika kolom `role` berisi "admin" (tidak peka huruf besar/kecil), nilai akan ditetapkan ke "ADMINISTRATOR".
tingkat keseriusan,	security_result.severity_details	Nilai asli dari pesan syslog disimpan di sini. Nilai ini berasal dari kolom `severity` menggunakan logika bersyarat: CRITICAL -> CRITICAL ERR -> ERROR ALERT, EMERGENCY -> HIGH INFO, NOTICE -> INFORMATIONAL DEBUG -> LOW WARN -> MEDIUM
source_ip	principal.ip	Nilai diambil dari kolom `source_ip` yang diekstrak oleh filter grok.
source_port	principal.port	Nilai diambil dari kolom `source_port` yang diekstrak oleh filter grok dan dikonversi menjadi bilangan bulat.
status	security_result.summary	Nilai diambil dari kolom `status` yang diekstrak oleh filter kv.
timestamp	metadata.event_timestamp, timestamp	Nilai diambil dari kolom `timestamp` yang diekstrak oleh filter grok dan diuraikan ke dalam objek stempel waktu. Kolom `timestamp` dalam objek `event` tingkat teratas juga mendapatkan nilai ini.
pengguna	principal.user.userid	Nilai diambil dari kolom `user` yang diekstrak oleh filter grok, setelah menghapus awalan "id\" atau "ID\". Nilai ini berasal dari keberadaan kolom lain: Jika `user` ada: USER_UNCATEGORIZED Jika `source_ip` dan `destination_ip` ada: NETWORK_CONNECTION Jika `principal_ip` atau `principal_hostname` ada: STATUS_UPDATE Jika tidak: GENERIC_EVENT Dikodekan secara permanen ke "BIGIP_APM". Dikodekan secara permanen ke "F5". Jika kolom `result` adalah "failed", nilainya akan ditetapkan ke "BLOCK".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.