Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux NGINX

Compatible avec :

Google SecOps SIEM

Ce parseur NGINX gère les journaux au format JSON et syslog. Il extrait les champs de différents formats de journaux et les normalise au format UDM. L'analyseur enrichit l'événement avec des métadonnées pour la gestion des serveurs et l'activité réseau, y compris les connexions des utilisateurs et les requêtes HTTP. Il gère également la logique des événements SSH et remplit les champs UDM en fonction des données extraites.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Instance Google SecOps
NGINX est en cours d'exécution et génère des journaux
Accès root à la machine hôte NGINX

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

Accédez au fichier de configuration :
1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'NGINX'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
Remplacez <customer_id> par le numéro client réel.
Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart bindplane-agent
```
Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Identifier l'emplacement des fichiers journaux NGINX

Les journaux NGINX sont généralement stockés dans :
- Journaux d'accès : /var/log/nginx/access.log
- Journaux d'erreurs : /var/log/nginx/error.log
Accédez à l'hôte NGINX à l'aide d'identifiants d'administrateur.
Exécutez la commande suivante et recherchez le chemin d'accès aux journaux sur votre hôte NGINX :
```
sudo cat /etc/nginx/nginx.conf | grep log
```

Configurer NGINX pour transférer les journaux vers Bindplane

Ouvrez le fichier de configuration NGINX (par exemple, /etc/nginx/nginx.conf) :
```
sudo vi /etc/nginx/nginx.conf
```

Modifiez la configuration en remplaçant <BINDPLANE_SERVER> et <BINDPLANE_PORT> par vos valeurs :

http {
    access_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_access;
    error_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_error;
}

Redémarrez NGINX pour appliquer les modifications :
```
sudo systemctl reload nginx
```

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`_Internal_WorkspaceResourceId`	`target.resource.product_object_id`	Mappé directement
`Computer`	`principal.asset.hostname`	Mappé directement
`Facility`	`additional.fields[`facility`]`	Mappé directement
`HostName`	`principal.asset.hostname`	Mappé directement si `src_ip` n'est pas présent
`ProcessName`	`principal.application`	Mappé directement
`SeverityLevel`	`security_result.severity`	Mappé sur INFORMATIONAL si la valeur est `info`
`SourceSystem`	`principal.asset.platform`	Mappé sur LINUX si la valeur correspond à `Linux`
`SyslogMessage`	Plusieurs champs	Analyse à l'aide de grok pour extraire `time`, `method`, `target_path`, `protocol`, `response_code`, `referral_url`, `user_agent`, `target_ip`, `target_host` et `cache`
`TenantId`	`additional.fields[`TenantId`]`	Mappé directement
`acct`	`principal.user.user_id`	Mappé directement s'il n'est pas vide ou `?`
`addr`	`principal.asset.ip`	Mappé directement
`audit_epoch`	`metadata.event_timestamp`	Converti en code temporel au format `UNIX`. Les nanosecondes sont extraites du message de journal d'origine.
`cache`	`additional.fields[`cache`]`	Mappé directement
`collection_time.nanos`	`metadata.event_timestamp.nanos`	Utilisé pour les nanosecondes du code temporel de l'événement, le cas échéant.
`collection_time.seconds`	`metadata.event_timestamp.seconds`	Utilisé pour les secondes de l'horodatage de l'événement, si disponibles
`data`	Plusieurs champs	Source de données principale, analysée différemment selon le format du journal (Syslog, JSON ou autre)
`exe`	`target.process.command_line`	Mappé directement après la suppression des barres obliques inverses et des guillemets
`hostname`	`principal.asset.hostname` OU `principal.asset.ip`	S'il s'agit d'une adresse IP, elle est mappée sur `principal.asset.ip`. Sinon, la valeur est mappée sur `principal.asset.hostname`.
`msg`	`metadata.description`	Mappé directement comme description
`node`	`target.asset.hostname`	Mappé directement
`pid`	`target.process.pid`	Mappé directement
`protocol`	`network.application_protocol`	Mappé sur HTTP si la valeur correspond à `HTTP`
`referral_url`	`network.http.referral_url`	Mappé directement s'il n'est pas vide ou `-`
`res`	`security_result.action_details`	Mappé directement
`response_code`	`network.http.response_code`	Mappé directement et converti en entier
`ses`	`network.session_id`	Mappé directement
`src_ip`	`principal.asset.ip`	Mappé directement
`target_host`	`target.asset.hostname`	Mappé directement
`target_ip`	`target.asset.ip`	Mappé directement, après conversion de la représentation de chaîne en tableau JSON, puis extraction des adresses IP individuelles
`target_path`	`target.url`	Mappé directement
`time`	`metadata.event_timestamp`	Analysé pour extraire le code temporel au format `dd/MMM/yyyy:HH:mm:ss Z`
`user_agent`	`network.http.user_agent`	Mappé directement s'il n'est pas vide ou `-`
	`metadata.event_type`	La valeur est initialement définie sur `GENERIC_EVENT`, puis peut être remplacée en fonction d'autres champs tels que `terminal` et `protocol`. La valeur par défaut est `USER_UNCATEGORIZED` si le modèle grok principal ne correspond pas. Définissez sur `NETWORK_HTTP` si `protocol` est HTTP et que `target_ip` est présent, et sur `STATUS_UPDATE` si `protocol` est HTTP, mais que `target_ip` n'est pas présent.
	`metadata.log_type`	Variable définie sur `NGINX`.
	`metadata.product_name`	Variable définie sur `NGINX`.
	`metadata.vendor_name`	Variable définie sur `NGINX`.
	`network.ip_protocol`	Définie sur `TCP` si `terminal` est `sshd` ou `ssh`, ou si le modèle Grok principal ne correspond pas
	`principal.asset_id`	Définie sur `GCP.GCE:0001`, si `terminal` est `sshd` ou `ssh`. Défini sur `GCP.GCE:0002` si le modèle grok principal ne correspond pas
	`extensions.auth.type`	Définie sur `MACHINE`, si `terminal` est `sshd` ou `ssh`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.