Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Kemp Load Balancer

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Kemp Load Balancer menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan KEMP_LOADBALANCER.

Mengonfigurasi Kemp Load Balancer

Login ke konsol Kemp Load Balancer.
Pilih Opsi logging > Opsi Syslog.
Di bagian Syslog options, di salah satu kolom yang tersedia, tentukan alamat IP penerusan Google Security Operations.

Sebaiknya tentukan alamat IP di kolom Info host.
Klik Ubah parameter syslog.

Mengonfigurasi penerus Google Security Operations untuk memproses log Kemp Load Balancer

Pilih Setelan SIEM > Forwarder.
Klik Tambahkan penerusan baru.
Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Collector name, ketik nama unik untuk pengumpul.
Pilih Kemp Load Balancer sebagai Log type.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak kolom dari pesan syslog Kemp Load Balancer berdasarkan kolom log_number, lalu memetakannya ke UDM. Fitur ini menangani berbagai format log menggunakan pola grok dan logika bersyarat, mengonversi jenis data, serta memperkaya peristiwa dengan metadata seperti jenis peristiwa, protokol aplikasi, dan hasil keamanan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
collection_time.seconds	metadata.event_timestamp.seconds	Waktu pengumpulan log digunakan sebagai stempel waktu peristiwa jika `timestamp` tidak ada. Nanodetik dipotong.
data	metadata.description \| network.http.method \| principal.ip \| principal.port \| target.ip \| target.port \| network.http.response_code \| target.user.userid \| target.file.full_path \| target.file.size \| network.ftp.command \| metadata.product_event_type \| target.url \| security_result.summary	Pesan log mentah. Berbagai kolom diekstrak dari kolom ini berdasarkan nomor log dan logika penguraian.
dstip	target.ip	Alamat IP tujuan.
dstport	target.port	Port tujuan.
filename	target.file.full_path	Nama file untuk peristiwa FTP.
file_size	target.file.size	Ukuran file untuk peristiwa FTP. Dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
ftpmethod	network.ftp.command	Perintah/metode FTP.
hostname	intermediary.hostname	Nama host dari log berformat CEF.
http_method	network.http.method	Metode HTTP.
http_response_code	network.http.response_code	Kode respons HTTP. Dikonversi ke bilangan bulat.
kv_data	principal.ip \| principal.port \| target.ip \| target.port \| metadata.product_event_type \| target.url	Pasangan nilai kunci dari log berformat CEF. Digunakan untuk mengekstrak berbagai kolom.
log_event	metadata.product_event_type	Jenis peristiwa dari log berformat CEF.
log_time	metadata.event_timestamp.seconds	Stempel waktu log. Dikonversi ke format Chronicle dan digunakan sebagai stempel waktu peristiwa. Nanodetik dipotong.
msg/message	Lihat `data`	Berisi pesan log utama. Lihat `data` untuk mengetahui detail pemetaan UDM.
pid	target.process.pid	ID Proses.
resource	target.url	Resource diakses.
srcip	principal.ip	Alamat IP sumber.
src_ip	principal.ip	Alamat IP sumber.
srcport	principal.port	Port sumber.
src_port	principal.port	Port sumber.
sshd	target.application	Nama daemon SSH.
ringkasan	security_result.summary	Ringkasan hasil keamanan.
timestamp.seconds	events.timestamp.seconds	Stempel waktu entri log. Digunakan sebagai stempel waktu peristiwa jika ada.
pengguna	target.user.userid	Nama pengguna.
vs	target.ip \| target.port	IP dan port server virtual. IP dipetakan ke `target.ip`. Port dipetakan ke `target.port` jika `dstport` tidak ada.
vs_port	target.port	Port server virtual. Ditentukan oleh logika berdasarkan `log_number`, `dest_port`, `login_status`, dan `log_event`. Nilai yang mungkin mencakup `GENERIC_EVENT`, `NETWORK_HTTP`, `NETWORK_CONNECTION`, `USER_LOGIN`, dan `USER_UNCATEGORIZED`. Dikodekan secara permanen ke "KEMP_LOADBALANCER". Dikodekan secara permanen ke "KEMP_LOADBALANCER". Dikodekan secara permanen ke "KEMP". Ditentukan oleh `dest_port`. Nilai yang mungkin adalah `HTTP` (port 80) dan `HTTPS` (port 443). Ditentukan oleh `login_status` dan `audit_msg`. Nilai yang mungkin adalah `ALLOW` dan `BLOCK`. Ditentukan oleh `audit_msg`. Nilai yang mungkin adalah `ERROR`. Disetel ke "AUTHTYPE_UNSPECIFIED" untuk peristiwa USER_LOGIN.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.