Mengumpulkan log NGINX
Parser NGINX ini menangani log berformat JSON dan syslog. Proses ini mengekstrak kolom dari berbagai format log dan menormalisasinya ke dalam format UDM. Parser memperkaya peristiwa dengan metadata untuk pengelolaan server dan aktivitas jaringan, termasuk login pengguna dan permintaan HTTP. Selain itu, modul ini menangani logika untuk peristiwa SSH dan mengisi kolom UDM berdasarkan data yang diekstrak.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- NGINX berjalan dan menghasilkan log
- Akses root ke mesin host NGINX
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Cari file
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'NGINX' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengidentifikasi lokasi file log NGINX
- Biasanya, log NGINX disimpan di:
- Log akses:
/var/log/nginx/access.log
- Log error:
/var/log/nginx/error.log
- Log akses:
- Akses host NGINX menggunakan kredensial administratif.
Jalankan perintah berikut dan cari jalur ke log di host NGINX Anda:
sudo cat /etc/nginx/nginx.conf | grep log
Mengonfigurasi NGINX untuk meneruskan log ke BindPlane
Buka file konfigurasi NGINX (misalnya,
/etc/nginx/nginx.conf
):sudo vi /etc/nginx/nginx.conf
Edit konfigurasi, ganti
<BINDPLANE_SERVER>
dan<BINDPLANE_PORT>
dengan nilai Anda:http { access_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_access; error_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_error; }
Mulai ulang NGINX untuk menerapkan perubahan:
sudo systemctl reload nginx
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
_Internal_WorkspaceResourceId |
target.resource.product_object_id |
Dipetakan secara langsung |
Computer |
principal.asset.hostname |
Dipetakan secara langsung |
Facility |
additional.fields[ fasilitas] |
Dipetakan secara langsung |
HostName |
principal.asset.hostname |
Dipetakan secara langsung jika src_ip tidak ada |
ProcessName |
principal.application |
Dipetakan secara langsung |
SeverityLevel |
security_result.severity |
Dipetakan ke INFORMATIONAL jika nilainya adalah info |
SourceSystem |
principal.asset.platform |
Dipetakan ke LINUX jika nilainya cocok dengan Linux |
SyslogMessage |
Beberapa kolom | Diparsing menggunakan grok untuk mengekstrak time , method , target_path , protocol , response_code , referral_url , user_agent , target_ip , target_host , dan cache |
TenantId |
additional.fields[ TenantId] |
Dipetakan secara langsung |
acct |
principal.user.user_id |
Dipetakan secara langsung jika tidak kosong atau ? |
addr |
principal.asset.ip |
Dipetakan secara langsung |
audit_epoch |
metadata.event_timestamp |
Dikonversi menjadi stempel waktu menggunakan format UNIX . Nanodetik diekstrak dari pesan log asli. |
cache |
additional.fields[ cache] |
Dipetakan secara langsung |
collection_time.nanos |
metadata.event_timestamp.nanos |
Digunakan untuk nanodetik stempel waktu peristiwa jika tersedia |
collection_time.seconds |
metadata.event_timestamp.seconds |
Digunakan untuk detik stempel waktu peristiwa jika tersedia |
data |
Beberapa kolom | Sumber utama data, diuraikan secara berbeda berdasarkan format log (Syslog, JSON, atau lainnya) |
exe |
target.process.command_line |
Dipetakan secara langsung setelah menghapus garis miring terbalik dan tanda petik |
hostname |
principal.asset.hostname ATAU principal.asset.ip |
Jika berupa alamat IP, dipetakan ke principal.asset.ip . Jika tidak, dipetakan ke principal.asset.hostname |
msg |
metadata.description |
Dipetakan langsung sebagai deskripsi |
node |
target.asset.hostname |
Dipetakan secara langsung |
pid |
target.process.pid |
Dipetakan secara langsung |
protocol |
network.application_protocol |
Dipetakan ke HTTP jika nilainya cocok dengan HTTP |
referral_url |
network.http.referral_url |
Dipetakan secara langsung jika tidak kosong atau - |
res |
security_result.action_details |
Dipetakan secara langsung |
response_code |
network.http.response_code |
Dipetakan dan dikonversi langsung ke bilangan bulat |
ses |
network.session_id |
Dipetakan secara langsung |
src_ip |
principal.asset.ip |
Dipetakan secara langsung |
target_host |
target.asset.hostname |
Dipetakan secara langsung |
target_ip |
target.asset.ip |
Dipetakan secara langsung, setelah mengonversi representasi string ke array JSON, lalu mengekstrak setiap IP |
target_path |
target.url |
Dipetakan secara langsung |
time |
metadata.event_timestamp |
Diuraikan untuk mengekstrak stempel waktu menggunakan format dd/MMM/yyyy:HH:mm:ss Z |
user_agent |
network.http.user_agent |
Dipetakan secara langsung jika tidak kosong atau - |
metadata.event_type |
Awalnya disetel ke GENERIC_EVENT , lalu berpotensi diganti berdasarkan kolom lain seperti terminal dan protocol . Nilai defaultnya adalah USER_UNCATEGORIZED jika pola grok utama tidak cocok. Disetel ke NETWORK_HTTP jika protocol adalah HTTP dan target_ip ada, dan STATUS_UPDATE jika protocol adalah HTTP, tetapi target_ip tidak ada |
|
metadata.log_type |
Disetel ke NGINX |
|
metadata.product_name |
Disetel ke NGINX |
|
metadata.vendor_name |
Disetel ke NGINX |
|
network.ip_protocol |
Disetel ke TCP jika terminal adalah sshd atau ssh , atau jika pola grok utama tidak cocok |
|
principal.asset_id |
Tetapkan ke GCP.GCE:0001 jika terminal adalah sshd atau ssh . Disetel ke GCP.GCE:0002 jika pola grok utama tidak cocok |
|
extensions.auth.type |
Disetel ke MACHINE jika terminal adalah sshd atau ssh |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.