此页面由 Cloud Translation API 翻译。

收集 Kemp 负载平衡器日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 Kemp 负载平衡器日志。

如需了解详情，请参阅将数据注入 Google Security Operations。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 KEMP_LOADBALANCER 注入标签的解析器。

配置 Kemp 负载平衡器

登录 Kemp 负载平衡器控制台。
依次选择日志记录选项 > Syslog 选项。
在 Syslog 选项部分中，在任意可用字段中指定 Google Security Operations 转发器的 IP 地址。

建议在 Info host 字段中指定 IP 地址。
点击更改 syslog 参数。

配置 Google Security Operations 转发器以注入 Kemp 负载平衡器日志

依次选择 SIEM 设置 > 转发器。
点击添加新转发器。
在转发器名称字段中，输入转发器的唯一名称。
点击提交，然后点击确认。转发器已添加，系统会显示添加收集器配置窗口。
在收集器名称字段中，为收集器输入一个唯一名称。
选择 Kemp 负载平衡器作为日志类型。
选择 Syslog 作为收集器类型。
配置以下必需的输入参数：
- 协议：指定收集器用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的目标端口，并监听 syslog 数据。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器会根据 log_number 字段从 Kemp 负载平衡器 syslog 消息中提取字段，并将这些字段映射到 UDM。它使用 grok 模式和条件逻辑处理各种日志格式，转换数据类型，并使用事件类型、应用协议和安全结果等元数据丰富事件。

UDM 映射表

日志字段	UDM 映射	逻辑
collection_time.seconds	metadata.event_timestamp.seconds	如果不存在 `timestamp`，则使用日志收集时间作为事件时间戳。纳秒被截断。
数据	metadata.description \| network.http.method \| principal.ip \| principal.port \| target.ip \| target.port \| network.http.response_code \| target.user.userid \| target.file.full_path \| target.file.size \| network.ftp.command \| metadata.product_event_type \| target.url \| security_result.summary	原始日志消息。系统会根据日志编号和解析逻辑从此字段中提取各种字段。
dstip	target.ip	目标 IP 地址。
dstport	target.port	目标端口。
filename	target.file.full_path	FTP 事件的文件名。
file_size	target.file.size	FTP 事件的文件大小。转换为无符号整数。
ftpmethod	network.ftp.command	FTP 命令/方法。
主机名	intermediary.hostname	CEF 格式日志中的主机名。
http_method	network.http.method	HTTP 方法。
http_response_code	network.http.response_code	HTTP 响应代码。已转换为整数。
kv_data	principal.ip \| principal.port \| target.ip \| target.port \| metadata.product_event_type \| target.url	采用 CEF 格式的日志中的键值对。用于提取各种字段。
log_event	metadata.product_event_type	CEF 格式日志中的事件类型。
log_time	metadata.event_timestamp.seconds	日志时间戳。转换为 Chronicle 格式并用作事件时间戳。纳秒被截断。
消息	查看`data`	包含主要日志消息。如需了解 UDM 映射详情，请参阅 `data`。
pid	target.process.pid	进程 ID。
资源	target.url	已访问的资源。
srcip	principal.ip	来源 IP 地址。
src_ip	principal.ip	来源 IP 地址。
srcport	principal.port	来源端口。
src_port	principal.port	来源端口。
sshd	target.application	SSH 守护程序名称。
摘要	security_result.summary	安全结果摘要。
timestamp.seconds	events.timestamp.seconds	日志条目时间戳。如果存在，则用作事件时间戳。
用户	target.user.userid	用户名。
对比	target.ip \| target.port	虚拟服务器 IP 和端口。IP 已映射到 `target.ip`。如果不存在 `dstport`，则端口会映射到 `target.port`。
vs_port	target.port	虚拟服务器端口。由基于 `log_number`、`dest_port`、`login_status` 和 `log_event` 的逻辑确定。可能的值包括 `GENERIC_EVENT`、`NETWORK_HTTP`、`NETWORK_CONNECTION`、`USER_LOGIN` 和 `USER_UNCATEGORIZED`。硬编码为“KEMP_LOADBALANCER”。硬编码为“KEMP_LOADBALANCER”。硬编码为“KEMP”。由 `dest_port` 确定。可能的值包括 `HTTP`（端口 80）和 `HTTPS`（端口 443）。由 `login_status` 和 `audit_msg` 确定。可能的值包括 `ALLOW` 和 `BLOCK`。由 `audit_msg` 确定。可能的值为 `ERROR`。对于 USER_LOGIN 事件，设置为“AUTHTYPE_UNSPECIFIED”。