Raccogli i log di Apache Tomcat

Supportato in:

Questo documento spiega come importare i log di Apache Tomcat in Google Security Operations utilizzando Bindplane. Il parser estrae i campi dai log in formato JSON e li trasforma nel modello UDM (Unified Data Model). Inizializza i valori predefiniti, analizza il payload JSON, gestisce i potenziali errori di analisi JSON e mappa vari campi del log non elaborato nei campi UDM corrispondenti, tra cui metadati, principal, osservatore e informazioni sui risultati di sicurezza, aggiungendo anche etichette personalizzate per il contesto dell'ambiente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Un host Windows 2016 o versioni successive oppure Linux con systemd
  • Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
  • Apache Tomcat 9.0.70 o versioni successive
  • Accesso in scrittura a $CATALINA_BASE/conf e $CATALINA_BASE/logs

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente BindPlane sul server Tomcat per raccogliere i file di log

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.
  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.
  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:
    • Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    • Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).
  2. Modifica il file config.yaml come segue:

    receivers:
        filelog/tomcat:
        include: [ /path/to/tomcat/logs/access-log.*.json ]
        start_at: beginning
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds_file_path: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            log_type: 'TOMCAT'
            raw_log_field: body
            ingestion_labels:
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - filelog/tomcat
                exporters:
                    - chronicle/chronicle_w_labels
    

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent
    
  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurare i log di accesso JSON in Tomcat

  1. Apri il file Tomcat all'indirizzo $CATALINA_BASE/conf/server.xml.
  2. Individua il tag <Host> e aggiungi questo codice al suo interno:

    <Valve className="org.apache.catalina.valves.JsonAccessLogValve"
          directory="logs"
          prefix="access-log"
          suffix=".json"
          rotatable="true"
          maxDays="7"/>
    
  3. Riavvia Tomcat per applicare le modifiche:

    cd /path/to/tomcat
    bin/catalina.sh stop
    bin/catalina.sh start
    
  4. Ogni giorno verrà visualizzato un nuovo file di log JSON (ad esempio, logs/access-log.2025-07-02.json).

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
@timestamp metadata.event_timestamp Il valore di @timestamp del log non elaborato viene mappato direttamente a questo campo UDM. Rappresenta l'ora in cui si è verificato l'evento.
agent.ephemeral_id additional.fields[ephemeral_id].value.string_value L'ID effimero dell'agente viene aggiunto come coppia chiave-valore nei campi additional.
agent.hostname observer.hostname Il nome host dell'agente viene utilizzato come nome host dell'osservatore.
agent.id observer.asset_id L'ID agente viene combinato con il tipo di agente per creare l'ID risorsa osservatore (ad es. filebeat: <agent_id>).
agent.type observer.application Il tipo di agente viene utilizzato come applicazione osservatore.
agent.version observer.platform_version La versione dell'agente viene utilizzata come versione della piattaforma dell'osservatore.
host.hostname principal.hostname Il nome host dell'host viene utilizzato come nome host principale.
host.id principal.asset.asset_id All'ID host viene aggiunto il prefisso Host Id: per creare l'ID risorsa principale.
host.ip principal.ip, observer.ip L'indirizzo IP dell'host viene utilizzato sia per l'IP principale sia per l'IP dell'osservatore. Se sono presenti più IP, questi vengono uniti in un array.
host.mac principal.mac L'indirizzo MAC dell'host viene utilizzato come indirizzo MAC principale. Se sono presenti più MAC, questi vengono uniti in un array.
host.os.family principal.platform Se la famiglia del sistema operativo host è rhel o redhat, la piattaforma principale è impostata su LINUX.
host.os.kernel principal.platform_patch_level La versione del kernel del sistema operativo host viene utilizzata come livello di patch principale della piattaforma.
host.os.name additional.fields[os_name].value.string_value Il nome del sistema operativo host viene aggiunto come coppia chiave-valore nei campi additional.
host.os.version principal.platform_version La versione del sistema operativo host viene utilizzata come versione principale della piattaforma.
log.file.path principal.process.file.full_path Il percorso del log viene utilizzato come percorso completo del file di processo principale.
log_level security_result.severity, security_result.severity_details, security_result.action Il livello di log viene utilizzato per determinare la gravità, i dettagli e l'azione del risultato di sicurezza. DEBUG, INFO e AUDIT corrispondono alla gravità INFORMATIONAL e all'azione ALLOW. ERROR corrisponde alla gravità ERROR e all'azione BLOCK. WARNING e WARN corrispondono alla gravità MEDIA e all'azione BLOCK. Il valore log_level non elaborato viene mappato anche a severity_details.
logstash.irm_environment additional.fields[irm_environment].value.string_value L'ambiente Iron Mountain di Logstash viene aggiunto come coppia chiave-valore nei campi additional.
logstash.irm_region additional.fields[irm_region].value.string_value La regione Iron Mountain di Logstash viene aggiunta come coppia chiave-valore nei campi additional.
logstash.irm_site additional.fields[irm_site].value.string_value Il sito Iron Mountain di Logstash viene aggiunto come coppia chiave-valore nei campi additional.
logstash.process.host intermediary.hostname L'host di elaborazione Logstash viene utilizzato come nome host intermedio.
logstash.process.timestamp metadata.collected_timestamp Il timestamp di elaborazione di Logstash viene utilizzato come timestamp della raccolta.
logstash.xyz_environment additional.fields[xyz_environment].value.string_value L'ambiente xyz di Logstash viene aggiunto come coppia chiave-valore nei campi additional.
logstash.xyz_region additional.fields[xyz_region].value.string_value La regione xyz di Logstash viene aggiunta come coppia chiave-valore nei campi additional.
logstash.xyz_site additional.fields[xyz_site].value.string_value Il sito xyz di Logstash viene aggiunto come coppia chiave-valore nei campi additional.
message metadata.description Il campo del messaggio viene analizzato come JSON e il relativo campo event_message viene utilizzato come descrizione dei metadati. L'applicazione intermediaria è hardcoded su logstash. Il tipo di evento dei metadati è codificato in modo permanente su USER_UNCATEGORIZED. Il tipo di log dei metadati è impostato su TOMCAT da batch.type o batch.log_type del log non elaborato. Il nome del prodotto di metadati è codificato in modo permanente su Tomcat. Il nome del fornitore di metadati è codificato in modo permanente su Tomcat.
user principal.user.userid Il campo utente del log non elaborato viene utilizzato come ID utente principale.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.