收集 Kemp 負載平衡器記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 Kemp Load Balancer 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 KEMP_LOADBALANCER 攝入標籤的剖析器。
設定 Kemp 負載平衡器
- 登入 Kemp Load Balancer 控制台。
- 依序選取「記錄選項」>「系統記錄選項」。
在「Syslog options」部分,於任一可用欄位中指定 Google Security Operations 轉送器的 IP 位址。
建議您在「資訊主機」欄位中指定 IP 位址。
按一下「變更系統記錄參數」。
設定 Google Security Operations 轉送器,以便擷取 Kemp Load Balancer 記錄
- 依序選取「SIEM 設定」>「轉送器」。
- 按一下「新增轉寄者」。
- 在「轉寄者名稱」欄位中,輸入轉寄者的專屬名稱。
- 依序點選「提交」和「確認」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「Collector name」(收集器名稱) 欄位中,輸入收集器的專屬名稱。
- 選取「Kemp Load Balancer」做為「記錄類型」。
- 選取「Syslog」做為「收集器類型」。
- 設定下列必要輸入參數:
- 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄檔資料。
- 按一下「提交」。
如要進一步瞭解 Google Security Operations 轉送器,請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。
如果在建立轉寄者時遇到問題,請與 Google Security Operations 支援團隊聯絡。
欄位對應參考資料
這個剖析器會根據 log_number 欄位,從 Kemp Load Balancer Syslog 訊息中擷取欄位,並將這些欄位對應至 UDM。它會使用 grok 模式和條件邏輯處理各種記錄格式、轉換資料類型,並使用事件類型、應用程式通訊協定和安全性結果等中繼資料擴充事件。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| collection_time.seconds | metadata.event_timestamp.seconds | 如果沒有 timestamp,系統會使用記錄收集時間做為事件時間戳記。奈秒遭截斷。 |
| 資料 | metadata.description | network.http.method | principal.ip | principal.port | target.ip | target.port | network.http.response_code | target.user.userid | target.file.full_path | target.file.size | network.ftp.command | metadata.product_event_type | target.url | security_result.summary | 原始記錄訊息。系統會根據記錄編號和剖析邏輯,從這個欄位擷取各種欄位。 |
| dstip | target.ip | 目的地 IP 位址。 |
| dstport | target.port | 目的地通訊埠。 |
| filename | target.file.full_path | FTP 事件的檔案名稱。 |
| file_size | target.file.size | FTP 事件的檔案大小。已轉換為無正負號整數。 |
| ftpmethod | network.ftp.command | FTP 指令/方法。 |
| 主機名稱 | intermediary.hostname | CEF 格式記錄中的主機名稱。 |
| http_method | network.http.method | HTTP 方法。 |
| http_response_code | network.http.response_code | HTTP 回應代碼。轉換成整數。 |
| kv_data | principal.ip | principal.port | target.ip | target.port | metadata.product_event_type | target.url | CEF 格式記錄中的鍵/值組合。用於擷取各種欄位。 |
| log_event | metadata.product_event_type | CEF 格式記錄中的事件類型。 |
| log_time | metadata.event_timestamp.seconds | 記錄時間戳記。轉換為 Chronicle 格式,並做為事件時間戳記。奈秒遭截斷。 |
| msg/message | 查看data |
包含主要記錄訊息。如需 UDM 對應詳細資料,請參閱 data。 |
| pid | target.process.pid | 程序 ID。 |
| 資源 | target.url | 已存取的資源。 |
| srcip | principal.ip | 來源 IP 位址。 |
| src_ip | principal.ip | 來源 IP 位址。 |
| srcport | principal.port | 來源通訊埠。 |
| src_port | principal.port | 來源通訊埠。 |
| sshd | target.application | SSH Daemon 名稱。 |
| 摘要 | security_result.summary | 安全結果摘要。 |
| timestamp.seconds | events.timestamp.seconds | 記錄項目時間戳記。如有,則做為事件時間戳記。 |
| 使用者 | target.user.userid | 使用者名稱。 |
| 對戰 | target.ip | target.port | 虛擬伺服器 IP 和通訊埠。IP 對應至 target.ip。如果沒有 dstport,則埠會對應至 target.port。 |
| vs_port | target.port | 虛擬伺服器通訊埠。系統會根據 log_number、dest_port、login_status 和 log_event 判斷。可能的值包括 GENERIC_EVENT、NETWORK_HTTP、NETWORK_CONNECTION、USER_LOGIN 和 USER_UNCATEGORIZED。硬式編碼為「KEMP_LOADBALANCER」。硬式編碼為「KEMP_LOADBALANCER」。硬式編碼為「KEMP」。由 dest_port決定。可能的值為 HTTP (通訊埠 80) 和 HTTPS (通訊埠 443)。由 login_status 和 audit_msg 決定。可能的值為 ALLOW 和 BLOCK。由 audit_msg決定。可能的值為 ERROR。針對 USER_LOGIN 事件,請設為「AUTHTYPE_UNSPECIFIED」。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。