Recopila registros del balanceador de cargas de Kemp

Compatible con:

En este documento, se describe cómo puedes recopilar registros del balanceador de cargas de Kemp con un reenvío de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia KEMP_LOADBALANCER.

Configura el balanceador de cargas de Kemp

  1. Accede a la consola del balanceador de cargas de Kemp.
  2. Selecciona Opciones de registro > Opciones de Syslog.

  3. En la sección Opciones de Syslog, especifica la dirección IP del retransmisor de Google Security Operations en cualquiera de los campos disponibles.

    Se recomienda especificar la dirección IP en el campo Host de información.

  4. Haz clic en Cambiar parámetros de syslog.

Configura el reenvío de Google Security Operations para transferir los registros del balanceador de cargas de Kemp

  1. Selecciona SIEM Settings > Forwarders.
  2. Haz clic en Agregar un nuevo reenvío.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
  6. Selecciona Kemp Load Balancer como el Tipo de registro.
  7. Selecciona Syslog como el Tipo de recopilador.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los reenvíadores de Google Security Operations, consulta Administra la configuración de los reenvíadores a través de la IU de Google Security Operations.

Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae campos de los mensajes de syslog del balanceador de cargas de Kemp según el campo log_number y los asigna al UDM. Maneja varios formatos de registro con patrones grok y lógica condicional, convierte tipos de datos y enriquece eventos con metadatos, como el tipo de evento, el protocolo de aplicación y los resultados de seguridad.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
collection_time.seconds metadata.event_timestamp.seconds La hora de recopilación del registro se usa como marca de tiempo del evento si no está presente timestamp. Los nanosegundos se truncan.
datos metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary Es el mensaje de registro sin procesar. Se extraen varios campos de este campo según el número de registro y la lógica de análisis.
dstip target.ip Dirección IP de destino.
dstport target.port Es el puerto de destino.
filename target.file.full_path Nombre de archivo para eventos de FTP.
file_size target.file.size Tamaño de archivo para eventos de FTP. Se convirtió en un número entero sin signo.
ftpmethod network.ftp.command Comando o método de FTP.
Nombre de host intermediary.hostname Es el nombre de host de los registros con formato CEF.
http_method network.http.method Método HTTP.
http_response_code network.http.response_code Es el código de respuesta HTTP. Se convirtió en un número entero.
kv_data principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url Son los pares clave-valor de los registros con formato CEF. Se usa para extraer varios campos.
log_event metadata.product_event_type Es el tipo de evento de los registros con formato CEF.
log_time metadata.event_timestamp.seconds Es la marca de tiempo del registro. Se convirtió al formato de Chronicle y se usó como marca de tiempo del evento. Los nanosegundos se truncan.
msg/message Ver data Contiene el mensaje de registro principal. Consulta data para obtener detalles sobre la asignación del UDM.
pid target.process.pid ID de proceso.
recurso target.url Se accedió al recurso.
srcip principal.ip Dirección IP de origen.
src_ip principal.ip Dirección IP de origen.
srcport principal.port Es el puerto de origen.
src_port principal.port Es el puerto de origen.
SSHD target.application Nombre del daemon de SSH.
resumen security_result.summary Es el resumen del resultado de seguridad.
timestamp.seconds events.timestamp.seconds Es la marca de tiempo de la entrada del registro. Se usa como marca de tiempo del evento si está presente.
usuario target.user.userid Nombre de usuario.
versus target.ip | target.port IP y puerto del servidor virtual. La IP se asigna a target.ip. El puerto se asigna a target.port si dstport no está presente.
vs_port target.port Puerto del servidor virtual. Se determina mediante la lógica basada en log_number, dest_port, login_status y log_event. Los valores posibles son GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN y USER_UNCATEGORIZED. Se codifica como "KEMP_LOADBALANCER". Se codifica como "KEMP_LOADBALANCER". Se codifica de forma rígida como "KEMP". Lo determina dest_port. Los valores posibles son HTTP (puerto 80) y HTTPS (puerto 443). Se determina según login_status y audit_msg. Los valores posibles son ALLOW y BLOCK. Lo determina audit_msg. El valor posible es ERROR. Se establece en "AUTHTYPE_UNSPECIFIED" para los eventos de USER_LOGIN.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.