Collecter les journaux de l'équilibreur de charge Kemp
Ce document explique comment collecter les journaux Kemp Load Balancer à l'aide d'un transmetteur Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion KEMP_LOADBALANCER.
Configurer l'équilibreur de charge Kemp
- Connectez-vous à la console Kemp Load Balancer.
- Sélectionnez Options de journalisation > Options Syslog.
Dans la section Options Syslog, spécifiez l'adresse IP du redirecteur Google Security Operations dans l'un des champs disponibles.
Nous vous recommandons de spécifier l'adresse IP dans le champ Hôte d'informations.
Cliquez sur Modifier les paramètres syslog.
Configurer le redirecteur Google Security Operations pour ingérer les journaux Kemp Load Balancer
- Sélectionnez Paramètres SIEM > Transmetteurs.
- Cliquez sur Ajouter un nouveau transfert.
- Dans le champ Nom du transfert, saisissez un nom unique pour le transfert.
- Cliquez sur Envoyer, puis sur Confirmer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
- Dans le champ Nom du collecteur, saisissez un nom unique pour le collecteur.
- Sélectionnez Kemp Load Balancer comme Type de journal.
- Sélectionnez Syslog comme type de collecteur.
- Configurez les paramètres d'entrée obligatoires suivants :
- Protocole : spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
- Adresse : spécifiez l'adresse IP ou le nom d'hôte cibles où le collecteur réside et écoute les données syslog.
- Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
- Cliquez sur Envoyer.
Pour en savoir plus sur les répartiteurs Google Security Operations, consultez Gérer les configurations des répartiteurs dans l'interface utilisateur Google Security Operations.
Si vous rencontrez des problèmes lors de la création de redirecteurs, contactez l'assistance Google Security Operations.
Référence du mappage de champs
Ce parseur extrait les champs des messages syslog de Kemp Load Balancer en fonction du champ log_number et les mappe à l'UDM. Il gère différents formats de journaux à l'aide de modèles grok et d'une logique conditionnelle, convertit les types de données et enrichit les événements avec des métadonnées telles que le type d'événement, le protocole d'application et les résultats de sécurité.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | L'heure de collecte des journaux est utilisée comme code temporel de l'événement si timestamp n'est pas présent. Les nanosecondes sont tronquées. |
| données | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Message de journal brut. Différents champs sont extraits de ce champ en fonction du numéro de journal et de la logique d'analyse. |
| dstip | target.ip | Adresse IP de destination. |
| dstport | target.port | Port de destination. |
| filename | target.file.full_path | Nom de fichier pour les événements FTP. |
| file_size | target.file.size | Taille du fichier pour les événements FTP. Converti en entier non signé. |
| ftpmethod | network.ftp.command | Commande/méthode FTP. |
| nom d'hôte | intermediary.hostname | Nom d'hôte des journaux au format CEF. |
| http_method | network.http.method | Méthode HTTP. |
| http_response_code | network.http.response_code | Code de réponse HTTP. Converti en entier. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Paires clé-valeur issues des journaux au format CEF. Utilisé pour extraire différents champs. |
| log_event | metadata.product_event_type | Type d'événement à partir des journaux au format CEF. |
| log_time | metadata.event_timestamp.seconds | Horodatage du journal. Converti au format Chronicle et utilisé comme code temporel de l'événement. Les nanosecondes sont tronquées. |
| msg/message | Voir data |
Contient le message de journal principal. Pour en savoir plus sur le mappage UDM, consultez data. |
| pid | target.process.pid | ID du processus. |
| ressource | target.url | Ressource consultée. |
| srcip | principal.ip | Adresse IP source. |
| src_ip | principal.ip | Adresse IP source. |
| srcport | principal.port | Port source |
| src_port | principal.port | Port source |
| sshd | target.application | Nom du daemon SSH. |
| résumé | security_result.summary | Résumé du résultat de sécurité. |
| timestamp.seconds | events.timestamp.seconds | Horodatage de l'entrée de journal. Utilisé comme code temporel de l'événement, le cas échéant. |
| utilisateur | target.user.userid | Nom d'utilisateur. |
| ou | target.ip | target.port | Adresse IP et port du serveur virtuel. L'adresse IP est mappée sur target.ip. Le port est mappé sur target.port si dstport n'est pas présent. |
| vs_port | target.port | Port du serveur virtuel. Déterminé par une logique basée sur log_number, dest_port, login_status et log_event. Les valeurs possibles sont GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN et USER_UNCATEGORIZED. Codé en dur sur "KEMP_LOADBALANCER". Codé en dur sur "KEMP_LOADBALANCER". Codé en dur sur "KEMP". Déterminé par dest_port. Les valeurs possibles sont HTTP (port 80) et HTTPS (port 443). Déterminé par login_status et audit_msg. Les valeurs possibles sont ALLOW et BLOCK. Déterminé par audit_msg. La valeur possible est ERROR. Définissez sa valeur sur "AUTHTYPE_UNSPECIFIED" pour les événements USER_LOGIN. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.