Raccogliere i log NGINX
Supportato in:
Google secops
SIEM
Questo parser NGINX gestisce i log formattati in JSON e syslog. Estrae i campi da vari formati di log e li normalizza nel formato UDM. Il parser arricchisce l'evento con metadati per la gestione del server e l'attività di rete, inclusi gli accessi degli utenti e le richieste HTTP. Gestisce anche la logica per gli eventi SSH e compila i campi UDM in base ai dati estratti.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- NGINX è in esecuzione e genera log
- Accesso root alla macchina host NGINX
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
- Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml. In genere, si trova nella directory/etc/bindplane-agent/su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano,vio Blocco note).
- Individua il file
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: 'NGINX' raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.jsonal percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agentPer riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Identificare la posizione dei file di log NGINX
- In genere i log NGINX vengono archiviati in:
- Log di accesso:
/var/log/nginx/access.log - Log degli errori:
/var/log/nginx/error.log
- Log di accesso:
- Accedi all'host NGINX utilizzando le credenziali amministrative.
Esegui il seguente comando e cerca il percorso dei log sull'host NGINX:
sudo cat /etc/nginx/nginx.conf | grep log
Configura NGINX per inoltrare i log a Bindplane
Apri il file di configurazione NGINX (ad esempio,
/etc/nginx/nginx.conf):sudo vi /etc/nginx/nginx.confModifica la configurazione sostituendo
<BINDPLANE_SERVER>e<BINDPLANE_PORT>con i tuoi valori:http { access_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_access; error_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_error; }Riavvia NGINX per applicare le modifiche:
sudo systemctl reload nginx
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
_Internal_WorkspaceResourceId |
target.resource.product_object_id |
Mappato direttamente |
Computer |
principal.asset.hostname |
Mappato direttamente |
Facility |
additional.fields[facility] |
Mappato direttamente |
HostName |
principal.asset.hostname |
Mappato direttamente se src_ip non è presente |
ProcessName |
principal.application |
Mappato direttamente |
SeverityLevel |
security_result.severity |
Mappato su INFORMATIONAL se il valore è info |
SourceSystem |
principal.asset.platform |
Mappato a LINUX se il valore corrisponde a Linux |
SyslogMessage |
Più campi | Analizzato utilizzando grok per estrarre time, method, target_path, protocol, response_code, referral_url, user_agent, target_ip, target_host e cache |
TenantId |
additional.fields[TenantId] |
Mappato direttamente |
acct |
principal.user.user_id |
Mappato direttamente se non è vuoto o ? |
addr |
principal.asset.ip |
Mappato direttamente |
audit_epoch |
metadata.event_timestamp |
Convertito in timestamp utilizzando il formato UNIX. I nanosecondi vengono estratti dal messaggio di log originale. |
cache |
additional.fields[cache] |
Mappato direttamente |
collection_time.nanos |
metadata.event_timestamp.nanos |
Utilizzato per i nanosecondi del timestamp dell'evento, se disponibili |
collection_time.seconds |
metadata.event_timestamp.seconds |
Utilizzato per i secondi del timestamp dell'evento, se disponibile |
data |
Più campi | L'origine principale dei dati, analizzata in modo diverso in base al formato del log (Syslog, JSON o altro) |
exe |
target.process.command_line |
Mappato direttamente dopo la rimozione di barre rovesciate e virgolette |
hostname |
principal.asset.hostname OPPURE principal.asset.ip |
Se si tratta di un indirizzo IP, mappato su principal.asset.ip. In caso contrario, mappato su principal.asset.hostname |
msg |
metadata.description |
Mappato direttamente come descrizione |
node |
target.asset.hostname |
Mappato direttamente |
pid |
target.process.pid |
Mappato direttamente |
protocol |
network.application_protocol |
Mappato a HTTP se il valore corrisponde a HTTP |
referral_url |
network.http.referral_url |
Mappato direttamente se non è vuoto o - |
res |
security_result.action_details |
Mappato direttamente |
response_code |
network.http.response_code |
Mappato e convertito direttamente in un numero intero |
ses |
network.session_id |
Mappato direttamente |
src_ip |
principal.asset.ip |
Mappato direttamente |
target_host |
target.asset.hostname |
Mappato direttamente |
target_ip |
target.asset.ip |
Mappato direttamente, dopo aver convertito la rappresentazione della stringa in un array JSON ed estratto i singoli IP |
target_path |
target.url |
Mappato direttamente |
time |
metadata.event_timestamp |
Analizzato per estrarre il timestamp utilizzando il formato dd/MMM/yyyy:HH:mm:ss Z |
user_agent |
network.http.user_agent |
Mappato direttamente se non è vuoto o - |
metadata.event_type |
Impostato inizialmente su GENERIC_EVENT, poi potenzialmente sovrascritto in base ad altri campi come terminal e protocol. Se il pattern grok principale non corrisponde, il valore predefinito è USER_UNCATEGORIZED. Imposta su NETWORK_HTTP se protocol è HTTP e target_ip è presente e su STATUS_UPDATE se protocol è HTTP ma target_ip non è presente |
|
metadata.log_type |
Impostato su NGINX |
|
metadata.product_name |
Impostato su NGINX |
|
metadata.vendor_name |
Impostato su NGINX |
|
network.ip_protocol |
Imposta su TCP se terminal è sshd o ssh oppure se il pattern grok principale non corrisponde |
|
principal.asset_id |
Imposta su GCP.GCE:0001 se terminal è sshd o ssh. Impostato su GCP.GCE:0002 se il pattern grok principale non corrisponde |
|
extensions.auth.type |
Impostato su MACHINE se terminal è sshd o ssh |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.