Recopilar registros de balanceadores de carga de Kemp
En este documento se describe cómo puede recoger registros de Kemp Load Balancer mediante un reenviador de Google Security Operations.
Para obtener más información, consulta Ingestión de datos en Google Security Operations.
Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión KEMP_LOADBALANCER.
Configurar el balanceador de carga de Kemp
- Inicia sesión en la consola de Kemp Load Balancer.
- Selecciona Opciones de registro > Opciones de Syslog.
En la sección Opciones de Syslog, especifique en cualquiera de los campos disponibles la dirección IP del reenviador de Google Security Operations.
Se recomienda especificar la dirección IP en el campo Host de información.
Haga clic en Cambiar parámetros de syslog.
Configurar el reenviador de Google Security Operations para ingerir registros de balanceadores de carga de Kemp
- Seleccione Configuración de SIEM > Reenviadores.
- Haz clic en Añadir nuevo remitente.
- En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
- Haz clic en Enviar y, a continuación, en Confirmar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
- En el campo Nombre del recolector, escriba un nombre único para el recolector.
- Selecciona Kemp Load Balancer como Tipo de registro.
- Seleccione Syslog como Tipo de recogida.
- Configure los siguientes parámetros de entrada obligatorios:
- Protocol: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: especifique la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: especifique el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenviadores de Google Security Operations, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.
Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.
Referencia de asignación de campos
Este analizador extrae campos de mensajes syslog de Kemp Load Balancer en función del campo log_number y los asigna a UDM. Gestiona varios formatos de registro mediante patrones grok y lógica condicional, convierte tipos de datos y enriquece eventos con metadatos como el tipo de evento, el protocolo de aplicación y los resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | La hora de recogida de registros se usa como marca de tiempo del evento si no se incluye timestamp. Los nanosegundos se truncan. |
| datos | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | El mensaje de registro sin procesar. Se extraen varios campos de este campo en función del número de registro y de la lógica de análisis. |
| dstip | target.ip | Dirección IP de destino. |
| dstport | target.port | Puerto de destino. |
| filename | target.file.full_path | Nombre de archivo de los eventos de FTP. |
| file_size | target.file.size | Tamaño de archivo de los eventos de FTP. Se ha convertido en un número entero sin signo. |
| ftpmethod | network.ftp.command | Comando o método de FTP. |
| nombre de host | intermediary.hostname | Nombre de host de los registros con formato CEF. |
| http_method | network.http.method | Método HTTP. |
| http_response_code | network.http.response_code | Código de respuesta HTTP. Se ha convertido en un número entero. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Pares clave-valor de registros con formato CEF. Se usa para extraer varios campos. |
| log_event | metadata.product_event_type | Tipo de evento de registros con formato CEF. |
| log_time | metadata.event_timestamp.seconds | Marca de tiempo del registro. Se ha convertido al formato de Chronicle y se ha usado como marca de tiempo del evento. Los nanosegundos se truncan. |
| msg/message | Ver data |
Contiene el mensaje de registro principal. Consulta data para obtener información detallada sobre el mapeado de UDM. |
| pid | target.process.pid | ID de proceso. |
| recurso | target.url | Se ha accedido al recurso. |
| srcip | principal.ip | Dirección IP de origen. |
| src_ip | principal.ip | Dirección IP de origen. |
| srcport | principal.port | Puerto de origen. |
| src_port | principal.port | Puerto de origen. |
| sshd | target.application | Nombre del daemon SSH. |
| resumen | security_result.summary | Resumen del resultado de seguridad. |
| timestamp.seconds | events.timestamp.seconds | Marca de tiempo de la entrada de registro. Se usa como marca de tiempo del evento si está presente. |
| usuario | target.user.userid | Nombre de usuario. |
| contra | target.ip | target.port | IP y puerto del servidor virtual. La IP se ha asignado a target.ip. El puerto se asigna a target.port si no se incluye dstport. |
| vs_port | target.port | Puerto del servidor virtual. Se determina mediante una lógica basada en log_number, dest_port, login_status y log_event. Los valores posibles son GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN y USER_UNCATEGORIZED. Codificado como "KEMP_LOADBALANCER". Codificado como "KEMP_LOADBALANCER". Codificado como "KEMP". Determinado por dest_port. Los valores posibles son HTTP (puerto 80) y HTTPS (puerto 443). Determinado por login_status y audit_msg. Los valores posibles son ALLOW y BLOCK. Determinado por audit_msg. El valor posible es ERROR. Se define como "AUTHTYPE_UNSPECIFIED" para los eventos USER_LOGIN. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.