Kemp Load Balancer-Logs erfassen
In diesem Dokument wird beschrieben, wie Sie Kemp Load Balancer-Logs mithilfe eines Google Security Operations-Forwarders erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.
Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label KEMP_LOADBALANCER.
Kemp Load Balancer konfigurieren
- Melden Sie sich in der Kemp Load Balancer-Konsole an.
- Wählen Sie Logging options (Logging-Optionen) > Syslog options (Syslog-Optionen) aus.
Geben Sie im Abschnitt Syslog-Optionen in einem der verfügbaren Felder die IP-Adresse des Google Security Operations-Forwarders an.
Es wird empfohlen, die IP-Adresse im Feld Info-Host anzugeben.
Klicken Sie auf Syslog-Parameter ändern.
Google Security Operations-Forwarder zum Erfassen von Kemp Load Balancer-Logs konfigurieren
- Wählen Sie SIEM Settings > Forwarders aus.
- Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
- Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
- Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
- Wählen Sie Kemp Load Balancer als Logtyp aus.
- Wählen Sie Syslog als Collector-Typ aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.
Referenz zur Feldzuordnung
Dieser Parser extrahiert Felder aus Kemp Load Balancer-Syslog-Nachrichten basierend auf dem Feld log_number und ordnet sie dem UDM zu. Es verarbeitet verschiedene Logformate mithilfe von grok-Mustern und bedingter Logik, konvertiert Datentypen und reichert Ereignisse mit Metadaten wie Ereignistyp, Anwendungsprotokoll und Sicherheitsergebnissen an.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | Die Zeit für die Protokollerfassung wird als Ereigniszeitstempel verwendet, wenn timestamp nicht vorhanden ist. Nanosekunden werden abgeschnitten. |
| Daten | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Die Roh-Lognachricht. Aus diesem Feld werden je nach Protokollnummer und Parsing-Logik verschiedene Felder extrahiert. |
| dstip | target.ip | IP-Adresse des Ziels. |
| dstport | target.port | Zielport. |
| filename | target.file.full_path | Dateiname für FTP-Ereignisse. |
| file_size | target.file.size | Dateigröße für FTP-Ereignisse. In eine vorzeichenlose Ganzzahl konvertiert. |
| ftpmethod | network.ftp.command | FTP-Befehl/Methode. |
| Hostname | intermediary.hostname | Hostname aus Protokollen im CEF-Format. |
| http_method | network.http.method | HTTP-Methode. |
| http_response_code | network.http.response_code | HTTP-Antwortcode. In Ganzzahl konvertiert. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Schlüssel/Wert-Paare aus Protokollen im CEF-Format. Wird zum Extrahieren verschiedener Felder verwendet. |
| log_event | metadata.product_event_type | Ereignistyp aus CEF-formatierten Logs. |
| log_time | metadata.event_timestamp.seconds | Zeitstempel des Logs. In das Chronicle-Format konvertiert und als Ereigniszeitstempel verwendet. Nanosekunden werden abgeschnitten. |
| msg/message | data ansehen |
Enthält die Hauptprotokollnachricht. Weitere Informationen zur UDM-Zuordnung finden Sie unter data. |
| pid | target.process.pid | Prozess-ID. |
| Ressource | target.url | Auf Ressource zugegriffen. |
| srcip | principal.ip | IP-Adresse der Quelle. |
| src_ip | principal.ip | IP-Adresse der Quelle. |
| srcport | principal.port | Quellport. |
| src_port | principal.port | Quellport. |
| sshd | target.application | Name des SSH-Daemons. |
| Zusammenfassung | security_result.summary | Zusammenfassung des Sicherheitsergebnisses. |
| timestamp.seconds | events.timestamp.seconds | Zeitstempel des Logeintrags. Wird als Ereigniszeitstempel verwendet, sofern vorhanden. |
| Nutzer | target.user.userid | Nutzername. |
| gegen | target.ip | target.port | IP-Adresse und Port des virtuellen Servers. Die IP-Adresse ist target.ip zugeordnet. Der Port wird target.port zugeordnet, wenn dstport nicht vorhanden ist. |
| vs_port | target.port | Port des virtuellen Servers. Wird durch Logik basierend auf log_number, dest_port, login_status und log_event bestimmt. Mögliche Werte sind GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN und USER_UNCATEGORIZED. Fest codiert auf „KEMP_LOADBALANCER“. Fest codiert auf „KEMP_LOADBALANCER“. Fest codiert auf „KEMP“. Wird von dest_port festgelegt. Mögliche Werte sind HTTP (Port 80) und HTTPS (Port 443). Wird durch login_status und audit_msg bestimmt. Mögliche Werte sind ALLOW und BLOCK. Wird von audit_msg festgelegt. Möglicher Wert ist ERROR. Für USER_LOGIN-Ereignisse auf „AUTHTYPE_UNSPECIFIED“ festlegen. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten