Mengumpulkan log NGINX

Didukung di:

Parser NGINX ini menangani log berformat JSON dan syslog. Proses ini mengekstrak kolom dari berbagai format log dan menormalisasinya ke dalam format UDM. Parser memperkaya peristiwa dengan metadata untuk pengelolaan server dan aktivitas jaringan, termasuk login pengguna dan permintaan HTTP. Selain itu, modul ini menangani logika untuk peristiwa SSH dan mengisi kolom UDM berdasarkan data yang diekstrak.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • NGINX berjalan dan menghasilkan log
  • Akses root ke mesin host NGINX

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.
  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.
  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Referensi penginstalan tambahan

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).
  2. Edit file config.yaml sebagai berikut:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: 'NGINX'
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent
    
  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Mengidentifikasi lokasi file log NGINX

  1. Biasanya, log NGINX disimpan di:
    • Log akses: /var/log/nginx/access.log
    • Log error: /var/log/nginx/error.log
  2. Akses host NGINX menggunakan kredensial administratif.
  3. Jalankan perintah berikut dan cari jalur ke log di host NGINX Anda:

    sudo cat /etc/nginx/nginx.conf | grep log
    

Mengonfigurasi NGINX untuk meneruskan log ke BindPlane

  1. Buka file konfigurasi NGINX (misalnya, /etc/nginx/nginx.conf):

    sudo vi /etc/nginx/nginx.conf
    
  2. Edit konfigurasi, ganti <BINDPLANE_SERVER> dan <BINDPLANE_PORT> dengan nilai Anda:

    http {
        access_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_access;
        error_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_error;
    }
    
  3. Mulai ulang NGINX untuk menerapkan perubahan:

    sudo systemctl reload nginx
    

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
_Internal_WorkspaceResourceId target.resource.product_object_id Dipetakan secara langsung
Computer principal.asset.hostname Dipetakan secara langsung
Facility additional.fields[fasilitas] Dipetakan secara langsung
HostName principal.asset.hostname Dipetakan secara langsung jika src_ip tidak ada
ProcessName principal.application Dipetakan secara langsung
SeverityLevel security_result.severity Dipetakan ke INFORMATIONAL jika nilainya adalah info
SourceSystem principal.asset.platform Dipetakan ke LINUX jika nilainya cocok dengan Linux
SyslogMessage Beberapa kolom Diparsing menggunakan grok untuk mengekstrak time, method, target_path, protocol, response_code, referral_url, user_agent, target_ip, target_host, dan cache
TenantId additional.fields[TenantId] Dipetakan secara langsung
acct principal.user.user_id Dipetakan secara langsung jika tidak kosong atau ?
addr principal.asset.ip Dipetakan secara langsung
audit_epoch metadata.event_timestamp Dikonversi menjadi stempel waktu menggunakan format UNIX. Nanodetik diekstrak dari pesan log asli.
cache additional.fields[cache] Dipetakan secara langsung
collection_time.nanos metadata.event_timestamp.nanos Digunakan untuk nanodetik stempel waktu peristiwa jika tersedia
collection_time.seconds metadata.event_timestamp.seconds Digunakan untuk detik stempel waktu peristiwa jika tersedia
data Beberapa kolom Sumber utama data, diuraikan secara berbeda berdasarkan format log (Syslog, JSON, atau lainnya)
exe target.process.command_line Dipetakan secara langsung setelah menghapus garis miring terbalik dan tanda petik
hostname principal.asset.hostname ATAU principal.asset.ip Jika berupa alamat IP, dipetakan ke principal.asset.ip. Jika tidak, dipetakan ke principal.asset.hostname
msg metadata.description Dipetakan langsung sebagai deskripsi
node target.asset.hostname Dipetakan secara langsung
pid target.process.pid Dipetakan secara langsung
protocol network.application_protocol Dipetakan ke HTTP jika nilainya cocok dengan HTTP
referral_url network.http.referral_url Dipetakan secara langsung jika tidak kosong atau -
res security_result.action_details Dipetakan secara langsung
response_code network.http.response_code Dipetakan dan dikonversi langsung ke bilangan bulat
ses network.session_id Dipetakan secara langsung
src_ip principal.asset.ip Dipetakan secara langsung
target_host target.asset.hostname Dipetakan secara langsung
target_ip target.asset.ip Dipetakan secara langsung, setelah mengonversi representasi string ke array JSON, lalu mengekstrak setiap IP
target_path target.url Dipetakan secara langsung
time metadata.event_timestamp Diuraikan untuk mengekstrak stempel waktu menggunakan format dd/MMM/yyyy:HH:mm:ss Z
user_agent network.http.user_agent Dipetakan secara langsung jika tidak kosong atau -
metadata.event_type Awalnya disetel ke GENERIC_EVENT, lalu berpotensi diganti berdasarkan kolom lain seperti terminal dan protocol. Nilai defaultnya adalah USER_UNCATEGORIZED jika pola grok utama tidak cocok. Disetel ke NETWORK_HTTP jika protocol adalah HTTP dan target_ip ada, dan STATUS_UPDATE jika protocol adalah HTTP, tetapi target_ip tidak ada
metadata.log_type Disetel ke NGINX
metadata.product_name Disetel ke NGINX
metadata.vendor_name Disetel ke NGINX
network.ip_protocol Disetel ke TCP jika terminal adalah sshd atau ssh, atau jika pola grok utama tidak cocok
principal.asset_id Tetapkan ke GCP.GCE:0001 jika terminal adalah sshd atau ssh. Disetel ke GCP.GCE:0002 jika pola grok utama tidak cocok
extensions.auth.type Disetel ke MACHINE jika terminal adalah sshd atau ssh

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.