Raccogliere i log di HAProxy
Questo documento spiega come importare i log HAProxy in Google Security Operations utilizzando Bindplane. Il parser Logstash estrae i campi dai messaggi syslog di HAProxy utilizzando una serie di regole di corrispondenza dei pattern Grok, progettate specificamente per gestire vari formati di log HAProxy. Quindi mappa i campi estratti su Unified Data Model (UDM), arricchendo i dati con un contesto aggiuntivo e standardizzando la rappresentazione per ulteriori analisi.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Windows 2016 o versioni successive oppure un host Linux con
systemd - Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
- Accesso con privilegi ad HAProxy
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione, consulta la guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
- Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/etc/bindplane-agent/su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'HAPROXY' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agentPer riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare Syslog per HAProxy
- Accedi a HAproxy utilizzando la CLI.
Aggiungi la direttiva log nella sezione global alla sezione Configuration per inoltrare i messaggi Syslog tramite UDP.
- Sostituisci
<bindplane-ips>con l'indirizzo IP effettivo dell'agente Bindplane.
global log <bindplane-ip>:514 local0 defaults log global- Sostituisci
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| accept_date_ms | ||
| actconn | ||
| backend_name | ||
| backend_queue | ||
| beconn | ||
| bytes_read | network.received_bytes | Estratto dal campo bytes_read nel log e convertito in un numero intero senza segno. |
| captured_request_headers | ||
| client_ip | principal.ip | Estratto dal campo client_ip nel log. |
| client_port | principal.port | Estratto dal campo client_port nel log e convertito in un numero intero. |
| command_description | metadata.description | Estratto dal campo command_description nel log, se disponibile. In caso contrario, viene derivato da altri campi come action o status a seconda del messaggio di log. |
| dataora | metadata.event_timestamp.seconds | Estratto dal campo datetime nel log, se disponibile. In caso contrario, viene derivato dal campo timestamp nella voce di log. |
| description | metadata.description | Estratto dal campo description nel log, se disponibile. In caso contrario, viene derivato da altri campi come command_description o action a seconda del messaggio di log. |
| feconn | ||
| frontend_name | ||
| http_request | target.url | Estratto dal campo http_request nel log. |
| http_status_code | network.http.response_code | Estratto dal campo http_status_code nel log e convertito in un numero intero. |
| http_verb | network.http.method | Estratto dal campo http_verb nel log. |
| http_version | metadata.product_version | Estratto dal campo http_version nel log e formattato come HTTP/{version}. |
| iniziatore | target.application | Estratto dal campo initiator nel log. |
| modulo | ||
| msg | security_result.summary | Estratto dal campo msg nel log. |
| pid | target.process.pid | Estratto dal campo pid nel log. |
| di diffusione | ||
| process_name | target.application | Estratto dal campo process_name nel log. |
| ritenta | ||
| server_name | target.hostname | Estratto dal campo server_name nel log. Se è vuoto, il valore predefinito è syslog_server. |
| gravità | security_result.severity | Mappato dal campo severity nel log. WARNING corrisponde a MEDIUM, ALERT corrisponde a CRITICAL e NOTICE corrisponde a INFORMATIONAL. |
| shell | ||
| srv_queue | ||
| srvconn | ||
| stato | ||
| syslog_server | target.hostname, intermediary.hostname | Estratto dal campo syslog_server nel log. Utilizzato sia per il nome host di destinazione (se server_name è vuoto) sia per il nome host intermedio. |
| syslog_timestamp | ||
| syslog_timestamp_1 | ||
| syslog_timestamp_2 | ||
| syslog_timestamp_4 | ||
| target_ip | ||
| time_backend_connect | ||
| time_backend_response | ||
| time_duration | ||
| time_queue | ||
| time_request | ||
| timestamp | metadata.event_timestamp.seconds | Estratto dal campo timestamp nel log e analizzato per le informazioni su data e ora. Utilizzato come timestamp dell'evento. |
| unknown_parameters1 | ||
| unknown_parameters2 | ||
| user_name | target.user.userid | Estratto dal campo user_name nel log. |
| metadata.event_type | Impostato su NETWORK_HTTP per impostazione predefinita. Modificato in tipi di eventi specifici come PROCESS_UNCATEGORIZED, STATUS_UPDATE o USER_UNCATEGORIZED in base al messaggio di log e ai campi analizzati. |
|
| metadata.vendor_name | Imposta su HAProxy Enterprise. |
|
| metadata.product_name | Imposta su HAProxy. |
|
| network.application_protocol | Imposta su HTTP se il campo message contiene HTTP. |
|
| metadata.log_type | Imposta su HAPROXY. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.