Raccogli i log del bilanciatore del carico Kemp
Questo documento descrive come raccogliere i log del bilanciatore del carico Kemp utilizzando un forwarder Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione
KEMP_LOADBALANCER.
Configura il bilanciatore del carico Kemp
- Accedi alla console del bilanciatore del carico Kemp.
- Seleziona Opzioni di logging > Opzioni Syslog.
Nella sezione Opzioni Syslog, in uno dei campi disponibili specifica l'indirizzo IP del forwarder di Google Security Operations.
Ti consigliamo di specificare l'indirizzo IP nel campo Host informazioni.
Fai clic su Modifica parametri syslog.
Configura il forwarder di Google Security Operations per l'importazione dei log del bilanciatore del carico Kemp
- Seleziona Impostazioni SIEM > Forwarder.
- Fai clic su Aggiungi nuovo inoltro.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
- Seleziona Kemp Load Balancer come Tipo di log.
- Seleziona Syslog come Tipo di raccoglitore.
- Configura i seguenti parametri di input obbligatori:
- Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui si trova il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations.
Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i campi dai messaggi syslog del bilanciatore del carico Kemp in base al campo log_number, mappandoli a UDM. Gestisce vari formati di log utilizzando pattern grok e logica condizionale, convertendo i tipi di dati e arricchendo gli eventi con metadati come tipo di evento, protocollo dell'applicazione e risultati di sicurezza.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | L'ora di raccolta dei log viene utilizzata come timestamp dell'evento se timestamp non è presente. I nanosecondi vengono troncati. |
| dati | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | Il messaggio di log non elaborato. Da questo campo vengono estratti vari campi in base al numero di log e alla logica di analisi. |
| dstip | target.ip | Indirizzo IP di destinazione. |
| dstport | target.port | Porta di destinazione. |
| filename | target.file.full_path | Nome file per gli eventi FTP. |
| file_size | target.file.size | Dimensione del file per gli eventi FTP. Convertito in numero intero senza segno. |
| ftpmethod | network.ftp.command | Comando/metodo FTP. |
| nome host | intermediary.hostname | Nome host dai log formattati CEF. |
| http_method | network.http.method | Metodo HTTP. |
| http_response_code | network.http.response_code | Codice di risposta HTTP. Convertito in numero intero. |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | Coppie chiave-valore dai log formattati CEF. Utilizzato per estrarre vari campi. |
| log_event | metadata.product_event_type | Tipo di evento dai log formattati CEF. |
| log_time | metadata.event_timestamp.seconds | Timestamp del log. Convertito nel formato Chronicle e utilizzato come timestamp dell'evento. I nanosecondi vengono troncati. |
| msg/message | Visualizza data |
Contiene il messaggio di log principale. Per informazioni dettagliate sulla mappatura UDM, vedi data. |
| pid | target.process.pid | ID processo. |
| risorsa | target.url | Accesso alla risorsa eseguito. |
| srcip | principal.ip | Indirizzo IP di origine. |
| src_ip | principal.ip | Indirizzo IP di origine. |
| srcport | principal.port | Porta di origine. |
| src_port | principal.port | Porta di origine. |
| sshd | target.application | Nome del daemon SSH. |
| riepilogo | security_result.summary | Riepilogo del risultato di sicurezza. |
| timestamp.seconds | events.timestamp.seconds | Timestamp della voce di log. Utilizzato come timestamp dell'evento, se presente. |
| utente | target.user.userid | Nome utente. |
| e | target.ip | target.port | IP e porta del server virtuale. L'IP è mappato a target.ip. La porta è mappata a target.port se dstport non è presente. |
| vs_port | target.port | Porta del server virtuale. Determinato dalla logica in base a log_number, dest_port, login_status e log_event. I valori possibili includono GENERIC_EVENT, NETWORK_HTTP, NETWORK_CONNECTION, USER_LOGIN e USER_UNCATEGORIZED. Codificato in modo permanente su "KEMP_LOADBALANCER". Codificato in modo permanente su "KEMP_LOADBALANCER". Codificato su "KEMP". Determinato da dest_port. I valori possibili sono HTTP (porta 80) e HTTPS (porta 443). Determinato da login_status e audit_msg. I valori possibili sono ALLOW e BLOCK. Determinato da audit_msg. Il valore possibile è ERROR. Imposta "AUTHTYPE_UNSPECIFIED" per gli eventi USER_LOGIN. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.