Collecter les journaux de l'équilibreur de charge Kemp
Ce document explique comment collecter les journaux de l'équilibreur de charge Kemp à l'aide d'un transfert Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations présentées dans ce document s'appliquent à l'analyseur avec le libellé d'ingestion KEMP_LOADBALANCER.
Configurer Kemp Load Balancer
- Connectez-vous à la console de l'équilibreur de charge Kemp.
- Sélectionnez Options de journalisation > Options Syslog.
Dans la section Options Syslog, dans l'un des champs disponibles, spécifiez l'adresse IP du transpondeur Google Security Operations.
Nous vous recommandons de spécifier l'adresse IP dans le champ Info host (Hôte d'informations).
Cliquez sur Modifier les paramètres syslog.
Configurer le transfert Google Security Operations pour ingérer les journaux de l'équilibreur de charge Kemp
- Sélectionnez Paramètres du SIEM > Transferts.
- Cliquez sur Ajouter un forwarder.
- Dans le champ Nom du forwarder, saisissez un nom unique pour le forwarder.
- Cliquez sur Envoyer, puis sur Confirmer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
- Sélectionnez Équilibreur de charge Kemp comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
- Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où se trouve le collecteur et où il écoute les données syslog.
- Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les transferts Google Security Operations, consultez Gérer les configurations de transfert via l'interface utilisateur de Google Security Operations.
Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google Security Operations.
Référence de mappage de champ
Cet analyseur extrait des champs des messages syslog du Kemp Load Balancer en fonction du champ log_number, et les met en correspondance avec l'UDM. Il gère différents formats de journaux à l'aide de modèles grok et de logique conditionnelle, convertit les types de données et enrichit les événements de métadonnées telles que le type d'événement, le protocole d'application et les résultats de sécurité.
Tableau de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | L'heure de collecte des journaux est utilisée comme code temporel d'événement si timestamp n'est pas présent. Les nanosecondes sont tronquées. |
| données | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Message de journal brut. Différents champs sont extraits de ce champ en fonction du numéro de journal et de la logique d'analyse. |
| dstip | target.ip | Adresse IP de destination. |
| dstport | target.port | Port de destination. |
| filename | target.file.full_path | Nom du fichier pour les événements FTP. |
| file_size | target.file.size | Taille du fichier pour les événements FTP. Converti en entier sans signature. |
| ftpmethod | network.ftp.command | Commande/méthode FTP. |
| nom d'hôte | intermediary.hostname | Nom d'hôte à partir des journaux au format CEF. |
| http_method | network.http.method | Méthode HTTP. |
| http_response_code | network.http.response_code | Code de réponse HTTP. Converti en entier. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Paires clé-valeur issues des journaux au format CEF. Permet d'extraire différents champs. |
| log_event | metadata.product_event_type | Type d'événement à partir des journaux au format CEF. |
| log_time | metadata.event_timestamp.seconds | Code temporel du journal. Converti au format Chronicle et utilisé comme code temporel d'événement. Les nanosecondes sont tronquées. |
| msg/message | Voir data |
Contient le message de journal principal. Pour en savoir plus sur le mappage UDM, consultez data. |
| pid | target.process.pid | ID du processus. |
| ressource | target.url | Ressource consultée. |
| srcip | principal.ip | Adresse IP source. |
| src_ip | principal.ip | Adresse IP source. |
| srcport | principal.port | Port source |
| src_port | principal.port | Port source |
| sshd | target.application | Nom du daemon SSH. |
| résumé | security_result.summary | Résumé du résultat de sécurité. |
| timestamp.seconds | events.timestamp.seconds | Horodatage de l'entrée de journal. Utilisé comme code temporel de l'événement, le cas échéant. |
| utilisateur | target.user.userid | Nom d'utilisateur. |
| ou | target.ip | target.port | Adresse IP et port du serveur virtuel. L'adresse IP est mappée sur target.ip. Le port est mappé sur target.port si dstport n'est pas présent. |
| vs_port | target.port | Port du serveur virtuel. Déterminé par une logique basée sur log_number, dest_port, login_status et log_event. Les valeurs possibles sont GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN et USER_UNCATEGORIZED. Code dur "KEMP_LOADBALANCER". Code dur "KEMP_LOADBALANCER". Code codé en dur sur "KEMP". Déterminé par dest_port. Les valeurs possibles sont HTTP (port 80) et HTTPS (port 443). Déterminé par login_status et audit_msg. Les valeurs possibles sont ALLOW et BLOCK. Déterminé par audit_msg. La valeur possible est ERROR. Définissez cette valeur sur "AUTHTYPE_UNSPECIFIED" pour les événements USER_LOGIN. |
Modifications
2023-05-31
- journaux analysés avec des événements "connected", "slave accept" et "block access to host".
- Mappage de "srcip" sur "principal.ip".
- Mappage de "dstip" sur "target.ip".
- Mappage de "vs" sur "target.ip".
- "srcport" a été mappé sur "principal.port".
- Mappage de "dstport" sur "target.port".
- Mappage de "resource" sur "target.url".
- "event" a été mappé sur "metadata.product_event_type".
- Analyse des journaux syslog défaillants.