Mengumpulkan log Eve Suricata

Didukung di:

Dokumen ini menjelaskan cara melihat log SURICATA_EVE di Google Security Operations.

Diagram arsitektur deployment berikut menunjukkan cara SURICATA_EVE dan Logstash dikonfigurasi untuk mengirim log ke Google Security Operations.

Arsitektur deployment

  1. Suricata menyimpan data ke file eve.json.
  2. Logstash memantau file eve.json dan meneruskan log baru ke server syslog. Server syslog dapat berupa penerus di VM yang sama atau di VM terpisah.
  3. Server syslog menggunakan penerus Google Security Operations untuk memproses log baru melalui port tertentu.
  4. Forwarder Google Security Operations meneruskan log ke instance Google Security Operations.

Sebelum memulai

  • Pastikan Anda telah menyiapkan kontrol akses untuk organisasi dan resource Anda menggunakan Identity and Access Management (IAM). Untuk mengetahui informasi selengkapnya tentang kontrol akses, lihat Kontrol akses untuk organisasi dengan IAM.

  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.

  1. Buat load balancer jaringan internal.

  2. Siapkan duplikasi paket.

  3. Instal Suricata dan pastikan bahwa pemberitahuan disimpan ke file eve.json. Perhatikan lokasi file eve.json.

  4. Instal Logstash di server Suricata.

  5. Edit file konfigurasi Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Tambahkan kode berikut:

    • Ubah SYSLOG_SERVER ke lokasi server syslog Anda.
    • Pastikan nomor port (dalam contoh ini, 10520) cocok dengan nomor port dalam konfigurasi penerusan Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Ubah alamat IP output.udp.host:

    • Jika penerusan Google Security Operations berada di sistem yang berbeda dengan server syslog, gunakan alamat IP server syslog.

    • Jika penerus Google Security Operations berada di sistem yang sama dengan server syslog, gunakan alamat IP internal.

Anda dapat menggunakan solusi penerusan log lain, seperti rsyslog, dengan konfigurasi yang menghapus header syslog.

Menyerap log SURICATA_EVE

Ikuti petunjuk di Menyerap Google Cloud log ke Google Security Operations.

Jika Anda mengalami masalah saat memproses log SURICATA_EVE, hubungi dukungan Google Security Operations.

Untuk mengetahui informasi selengkapnya tentang cara Google Security Operations menyerap data, lihat Ringkasan penyerapan data ke Google Security Operations.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.