Raccogli i log di Apache Tomcat
Questo documento spiega come importare i log di Apache Tomcat in Google Security Operations utilizzando Bindplane. Il parser estrae i campi dai log in formato JSON e li trasforma nel modello UDM (Unified Data Model). Inizializza i valori predefiniti, analizza il payload JSON, gestisce i potenziali errori di analisi JSON e mappa vari campi del log non elaborato nei campi UDM corrispondenti, tra cui metadati, principal, osservatore e informazioni sui risultati di sicurezza, aggiungendo anche etichette personalizzate per il contesto dell'ambiente.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Un host Windows 2016 o versioni successive oppure Linux con
systemd
- Se l'esecuzione avviene tramite un proxy, le porte del firewall sono aperte
- Apache Tomcat 9.0.70 o versioni successive
- Accesso in scrittura a
$CATALINA_BASE/conf
e$CATALINA_BASE/logs
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente BindPlane sul server Tomcat per raccogliere i file di log
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione, consulta la guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
- Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere, si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: filelog/tomcat: include: [ /path/to/tomcat/logs/access-log.*.json ] start_at: beginning exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'TOMCAT' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - filelog/tomcat exporters: - chronicle/chronicle_w_labels
- Sostituisci
/path/to/tomcat/logs
. - Sostituisci
<customer_id>
con l'ID cliente effettivo. - Aggiorna
/path/to/ingestion-authentication-file.json
al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
- Sostituisci
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agent
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare i log di accesso JSON in Tomcat
- Apri il file Tomcat all'indirizzo
$CATALINA_BASE/conf/server.xml
. Individua il tag <Host> e aggiungi questo codice al suo interno:
<Valve className="org.apache.catalina.valves.JsonAccessLogValve" directory="logs" prefix="access-log" suffix=".json" rotatable="true" maxDays="7"/>
Riavvia Tomcat per applicare le modifiche:
cd /path/to/tomcat bin/catalina.sh stop bin/catalina.sh start
Ogni giorno verrà visualizzato un nuovo file di log JSON (ad esempio,
logs/access-log.2025-07-02.json
).
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
@timestamp |
metadata.event_timestamp |
Il valore di @timestamp del log non elaborato viene mappato direttamente a questo campo UDM. Rappresenta l'ora in cui si è verificato l'evento. |
agent.ephemeral_id |
additional.fields[ephemeral_id].value.string_value |
L'ID effimero dell'agente viene aggiunto come coppia chiave-valore nei campi additional . |
agent.hostname |
observer.hostname |
Il nome host dell'agente viene utilizzato come nome host dell'osservatore. |
agent.id |
observer.asset_id |
L'ID agente viene combinato con il tipo di agente per creare l'ID risorsa osservatore (ad es. filebeat: <agent_id> ). |
agent.type |
observer.application |
Il tipo di agente viene utilizzato come applicazione osservatore. |
agent.version |
observer.platform_version |
La versione dell'agente viene utilizzata come versione della piattaforma dell'osservatore. |
host.hostname |
principal.hostname |
Il nome host dell'host viene utilizzato come nome host principale. |
host.id |
principal.asset.asset_id |
All'ID host viene aggiunto il prefisso Host Id: per creare l'ID risorsa principale. |
host.ip |
principal.ip , observer.ip |
L'indirizzo IP dell'host viene utilizzato sia per l'IP principale sia per l'IP dell'osservatore. Se sono presenti più IP, questi vengono uniti in un array. |
host.mac |
principal.mac |
L'indirizzo MAC dell'host viene utilizzato come indirizzo MAC principale. Se sono presenti più MAC, questi vengono uniti in un array. |
host.os.family |
principal.platform |
Se la famiglia del sistema operativo host è rhel o redhat , la piattaforma principale è impostata su LINUX . |
host.os.kernel |
principal.platform_patch_level |
La versione del kernel del sistema operativo host viene utilizzata come livello di patch principale della piattaforma. |
host.os.name |
additional.fields[os_name].value.string_value |
Il nome del sistema operativo host viene aggiunto come coppia chiave-valore nei campi additional . |
host.os.version |
principal.platform_version |
La versione del sistema operativo host viene utilizzata come versione principale della piattaforma. |
log.file.path |
principal.process.file.full_path |
Il percorso del log viene utilizzato come percorso completo del file di processo principale. |
log_level |
security_result.severity , security_result.severity_details , security_result.action |
Il livello di log viene utilizzato per determinare la gravità, i dettagli e l'azione del risultato di sicurezza. DEBUG, INFO e AUDIT corrispondono alla gravità INFORMATIONAL e all'azione ALLOW. ERROR corrisponde alla gravità ERROR e all'azione BLOCK. WARNING e WARN corrispondono alla gravità MEDIA e all'azione BLOCK. Il valore log_level non elaborato viene mappato anche a severity_details. |
logstash.irm_environment |
additional.fields[irm_environment].value.string_value |
L'ambiente Iron Mountain di Logstash viene aggiunto come coppia chiave-valore nei campi additional . |
logstash.irm_region |
additional.fields[irm_region].value.string_value |
La regione Iron Mountain di Logstash viene aggiunta come coppia chiave-valore nei campi additional . |
logstash.irm_site |
additional.fields[irm_site].value.string_value |
Il sito Iron Mountain di Logstash viene aggiunto come coppia chiave-valore nei campi additional . |
logstash.process.host |
intermediary.hostname |
L'host di elaborazione Logstash viene utilizzato come nome host intermedio. |
logstash.process.timestamp |
metadata.collected_timestamp |
Il timestamp di elaborazione di Logstash viene utilizzato come timestamp della raccolta. |
logstash.xyz_environment |
additional.fields[xyz_environment].value.string_value |
L'ambiente xyz di Logstash viene aggiunto come coppia chiave-valore nei campi additional . |
logstash.xyz_region |
additional.fields[xyz_region].value.string_value |
La regione xyz di Logstash viene aggiunta come coppia chiave-valore nei campi additional . |
logstash.xyz_site |
additional.fields[xyz_site].value.string_value |
Il sito xyz di Logstash viene aggiunto come coppia chiave-valore nei campi additional . |
message |
metadata.description |
Il campo del messaggio viene analizzato come JSON e il relativo campo event_message viene utilizzato come descrizione dei metadati. L'applicazione intermediaria è hardcoded su logstash . Il tipo di evento dei metadati è codificato in modo permanente su USER_UNCATEGORIZED . Il tipo di log dei metadati è impostato su TOMCAT da batch.type o batch.log_type del log non elaborato. Il nome del prodotto di metadati è codificato in modo permanente su Tomcat . Il nome del fornitore di metadati è codificato in modo permanente su Tomcat . |
user |
principal.user.userid |
Il campo utente del log non elaborato viene utilizzato come ID utente principale. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.