收集 HAProxy 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 HAProxy 記錄擷取至 Google Security Operations。Logstash 剖析器會使用一系列 Grok 模式比對規則,從 HAProxy syslog 訊息中擷取欄位,這些規則專門用於處理各種 HAProxy 記錄格式。接著,系統會將擷取的欄位對應至整合式資料模型 (UDM),並以額外情境資訊擴充資料,以及將資料表示法標準化,以供進一步分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果透過 Proxy 執行,防火牆通訊埠已開啟
- HAProxy 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'HAPROXY' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
為 HAProxy 設定 Syslog
- 使用 CLI 登入 HAproxy。
在「Configuration」的「global」部分新增「log」指令,透過「UDP」轉送 Syslog 訊息。
- 請將
<bindplane-ips>替換為實際的 Bindplane 代理程式 IP 位址。
global log <bindplane-ip>:514 local0 defaults log global- 請將
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| accept_date_ms | ||
| actconn | ||
| backend_name | ||
| backend_queue | ||
| beconn | ||
| bytes_read | network.received_bytes | 從記錄中的 bytes_read 欄位擷取,並轉換為無正負號整數。 |
| captured_request_headers | ||
| client_ip | principal.ip | 從記錄檔的「client_ip」欄位擷取。 |
| client_port | principal.port | 從記錄中的 client_port 欄位擷取,並轉換為整數。 |
| command_description | metadata.description | 如果記錄檔中有 command_description 欄位,系統會從中擷取。否則,系統會根據記錄訊息,從 action 或 status 等其他欄位衍生。 |
| 日期時間 | metadata.event_timestamp.seconds | 如果記錄檔中有 datetime 欄位,系統會從中擷取。否則,系統會從記錄項目的 timestamp 欄位衍生。 |
| 說明 | metadata.description | 如果記錄檔中有 description 欄位,系統會從中擷取。否則,系統會根據記錄訊息,從 command_description 或 action 等其他欄位衍生。 |
| feconn | ||
| frontend_name | ||
| http_request | target.url | 從記錄檔的「http_request」欄位擷取。 |
| http_status_code | network.http.response_code | 從記錄中的 http_status_code 欄位擷取,並轉換為整數。 |
| http_verb | network.http.method | 從記錄檔的「http_verb」欄位擷取。 |
| http_version | metadata.product_version | 從記錄檔的「http_version」欄位擷取,並格式化為「HTTP/{version}」。 |
| 發起者 | target.application | 從記錄檔的「initiator」欄位擷取。 |
| module | ||
| msg | security_result.summary | 從記錄檔的「msg」欄位擷取。 |
| pid | target.process.pid | 從記錄檔的「pid」欄位擷取。 |
| 反向擴散程序 | ||
| process_name | target.application | 從記錄檔的「process_name」欄位擷取。 |
| retries | ||
| server_name | target.hostname | 從記錄檔的「server_name」欄位擷取。如果為空白,則預設為 syslog_server 的值。 |
| 嚴重性 | security_result.severity | 對應記錄中的「severity」欄位。WARNING 對應到 MEDIUM,ALERT 對應到 CRITICAL,NOTICE 對應到 INFORMATIONAL。 |
| 殼層 | ||
| srv_queue | ||
| srvconn | ||
| 狀態 | ||
| syslog_server | target.hostname、intermediary.hostname | 從記錄檔的「syslog_server」欄位擷取。用於目標主機名稱 (如果 server_name 為空白) 和中介主機名稱。 |
| syslog_timestamp | ||
| syslog_timestamp_1 | ||
| syslog_timestamp_2 | ||
| syslog_timestamp_4 | ||
| target_ip | ||
| time_backend_connect | ||
| time_backend_response | ||
| time_duration | ||
| time_queue | ||
| time_request | ||
| 時間戳記 | metadata.event_timestamp.seconds | 從記錄檔的 timestamp 欄位擷取,並剖析日期和時間資訊。做為事件時間戳記。 |
| unknown_parameters1 | ||
| unknown_parameters2 | ||
| user_name | target.user.userid | 從記錄檔的「user_name」欄位擷取。 |
| metadata.event_type | 預設為 NETWORK_HTTP。根據記錄訊息和剖析的欄位,變更為特定事件類型,例如 PROCESS_UNCATEGORIZED、STATUS_UPDATE 或 USER_UNCATEGORIZED。 |
|
| metadata.vendor_name | 設為 HAProxy Enterprise。 |
|
| metadata.product_name | 設為 HAProxy。 |
|
| network.application_protocol | 如果 message 欄位包含 HTTP,請設為 HTTP。 |
|
| metadata.log_type | 設為 HAPROXY。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。