收集 Suricata Eve 日志

本文档介绍了如何在 Google Security Operations 中查看 SURICATA_EVE 日志。

以下部署架构图展示了如何配置 SURICATA_EVE 和 Logstash 以将日志发送到 Google Security Operations。

1. Suricata 将数据保存到 eve.json 文件中。
2. Logstash 会监控 eve.json 文件并将新日志转发到 syslog 服务器。syslog 服务器可以是同一虚拟机或单独虚拟机上的转发器。
3. syslog 服务器使用 Google Security Operations 转发器来侦听特定端口上的新日志。
4. Google Security Operations 转送器将日志转发到 Google Security Operations 实例。

准备工作

• 确保您已使用 Identity and Access Management (IAM) 为组织和资源设置访问权限控制。如需详细了解访问权限控制，请参阅使用 IAM 对组织进行访问权限控制。

• 确保部署架构中的所有系统都配置为使用世界协调时间 (UTC) 时区。

配置 Suricata 及相关软件

1. 创建内部网络负载均衡器。

2. 设置数据包镜像。

3. 安装 Suricata 并确认系统正在将提醒保存到 eve.json 文件中。记下 eve.json 文件所在的位置。

4. 在 Suricata 服务器上安装 Logstash。

5. 修改 Logstash 配置文件 (/etc/logstash/conf.d/logstash.conf)：

   a. 添加以下代码：

   • 将 SYSLOG_SERVER 更改为您的 syslog 服务器的位置。
   • 确保端口号（在本例中为 10520）与 Google Security Operations 转发器配置中的端口号一致。

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. 更改 output.udp.host IP 地址：

   • 如果 Google Security Operations 转发器与 syslog 服务器位于不同的系统上，请使用 syslog 服务器的 IP 地址。

   • 如果 Google Security Operations 转发器与 syslog 服务器位于同一系统上，请使用内部 IP 地址。

您可以使用其他日志转发器解决方案（例如 rsyslog），并配置该解决方案以移除 syslog 标头。

注入 SURICATA_EVE 日志

按照将 Google Cloud 日志注入到 Google Security Operations 中的说明操作。

如果您在提取 SURICATA_EVE 日志时遇到问题，请与 Google Security Operations 支持团队联系。

如需详细了解 Google Security Operations 如何注入数据，请参阅 Google Security Operations 数据注入概览。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。