HAProxy ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して HAProxy ログを Google Security Operations に取り込む方法について説明します。Logstash パーサーは、さまざまな HAProxy ログ形式を処理するために特別に設計された一連の Grok パターン マッチング ルールを使用して、HAProxy syslog メッセージからフィールドを抽出します。次に、抽出されたフィールドを統合データモデル(UDM)にマッピングし、追加のコンテキストでデータを拡充して、さらなる分析のために表現を標準化します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows 2016 以降、または
systemdを使用する Linux ホスト - プロキシの背後で実行されている場合、ファイアウォール ポートが開いている
- HAProxy への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
その他のインストール オプションについては、インストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
- 構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'HAPROXY' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
HAProxy の Syslog を構成する
- CLI を使用して HAproxy にログインします。
構成の global セクションに log ディレクティブを追加して、UDP 経由で Syslog メッセージを転送します。
<bindplane-ips>は、実際の Bindplane エージェントの IP アドレスに置き換えます。
global log <bindplane-ip>:514 local0 defaults log global
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| accept_date_ms | ||
| actconn | ||
| backend_name | ||
| backend_queue | ||
| beconn | ||
| bytes_read | network.received_bytes | ログの bytes_read フィールドから抽出され、符号なし整数に変換されます。 |
| captured_request_headers | ||
| client_ip | principal.ip | ログの client_ip フィールドから抽出されます。 |
| client_port | principal.port | ログの client_port フィールドから抽出され、整数に変換されます。 |
| command_description | metadata.description | ログの command_description フィールドから抽出されます(利用可能な場合)。それ以外の場合は、ログメッセージに応じて action や status などの他のフィールドから派生します。 |
| datetime | metadata.event_timestamp.seconds | ログの datetime フィールドから抽出されます(利用可能な場合)。それ以外の場合は、ログエントリの timestamp フィールドから派生します。 |
| 説明 | metadata.description | ログの description フィールドから抽出されます(利用可能な場合)。それ以外の場合は、ログメッセージに応じて command_description や action などの他のフィールドから派生します。 |
| feconn | ||
| frontend_name | ||
| http_request | target.url | ログの http_request フィールドから抽出されます。 |
| http_status_code | network.http.response_code | ログの http_status_code フィールドから抽出され、整数に変換されます。 |
| http_verb | network.http.method | ログの http_verb フィールドから抽出されます。 |
| http_version | metadata.product_version | ログの http_version フィールドから抽出され、HTTP/{version} としてフォーマットされます。 |
| イニシエータ | target.application | ログの initiator フィールドから抽出されます。 |
| モジュール | ||
| msg | security_result.summary | ログの msg フィールドから抽出されます。 |
| pid | target.process.pid | ログの pid フィールドから抽出されます。 |
| プロセス | ||
| process_name | target.application | ログの process_name フィールドから抽出されます。 |
| retries | ||
| server_name | target.hostname | ログの server_name フィールドから抽出されます。空の場合、デフォルトで syslog_server の値になります。 |
| 重要度 | security_result.severity | ログの severity フィールドからマッピングされます。WARNING は MEDIUM に、ALERT は CRITICAL に、NOTICE は INFORMATIONAL にマッピングされます。 |
| shell | ||
| srv_queue | ||
| srvconn | ||
| ステータス | ||
| syslog_server | target.hostname、intermediary.hostname | ログの syslog_server フィールドから抽出されます。ターゲット ホスト名(server_name が空の場合)と仲介ホスト名の両方で使用されます。 |
| syslog_timestamp | ||
| syslog_timestamp_1 | ||
| syslog_timestamp_2 | ||
| syslog_timestamp_4 | ||
| target_ip | ||
| time_backend_connect | ||
| time_backend_response | ||
| time_duration | ||
| time_queue | ||
| time_request | ||
| timestamp | metadata.event_timestamp.seconds | ログの timestamp フィールドから抽出され、日付と時刻の情報が解析されます。イベントのタイムスタンプとして使用されます。 |
| unknown_parameters1 | ||
| unknown_parameters2 | ||
| user_name | target.user.userid | ログの user_name フィールドから抽出されます。 |
| metadata.event_type | デフォルトでは NETWORK_HTTP に設定されています。ログメッセージと解析されたフィールドに基づいて、PROCESS_UNCATEGORIZED、STATUS_UPDATE、USER_UNCATEGORIZED などの特定のイベントタイプに変更されました。 |
|
| metadata.vendor_name | HAProxy Enterprise に設定します。 |
|
| metadata.product_name | HAProxy に設定します。 |
|
| network.application_protocol | message フィールドに HTTP が含まれている場合、HTTP に設定します。 |
|
| metadata.log_type | HAPROXY に設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。