本頁面由 Cloud Translation API 翻譯而成。

收集 Apache Tomcat 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Apache Tomcat 記錄擷取至 Google Security Operations。剖析器會從 JSON 格式的記錄中擷取欄位，並轉換為統合式資料模型 (UDM)。這個函式會初始化預設值、剖析 JSON 酬載、處理可能的 JSON 剖析錯誤，並將原始記錄中的各種欄位對應至相應的 UDM 欄位，包括中繼資料、主體、觀察者和安全性結果資訊，同時也會為環境內容新增自訂標籤。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
Apache Tomcat 9.0.70 以上版本
具備「$CATALINA_BASE/conf」和「$CATALINA_BASE/logs」的寫入權限

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

在 Tomcat 伺服器上安裝 Bindplane 代理程式，以收集記錄檔

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    filelog/tomcat:
    include: [ /path/to/tomcat/logs/access-log.*.json ]
    start_at: beginning

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'TOMCAT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - filelog/tomcat
            exporters:
                - chronicle/chronicle_w_labels

更換 /path/to/tomcat/logs。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為您在「取得 Google SecOps 擷取驗證檔案」部分儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Tomcat 中設定 JSON 存取記錄

開啟 $CATALINA_BASE/conf/server.xml 的 Tomcat 檔案。

找出 <Host> 標記，並在其中加入以下內容：

<Valve className="org.apache.catalina.valves.JsonAccessLogValve"
      directory="logs"
      prefix="access-log"
      suffix=".json"
      rotatable="true"
      maxDays="7"/>

重新啟動 Tomcat 以套用變更：

cd /path/to/tomcat
bin/catalina.sh stop
bin/catalina.sh start

每天都會產生新的 JSON 記錄檔 (例如 logs/access-log.2025-07-02.json)。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`@timestamp`	`metadata.event_timestamp`	原始記錄中的 `@timestamp` 值會直接對應至這個 UDM 欄位。代表事件發生的時間。
`agent.ephemeral_id`	`additional.fields[ephemeral_id].value.string_value`	代理程式的暫時性 ID 會以鍵/值組合的形式新增至 `additional` 欄位。
`agent.hostname`	`observer.hostname`	代理程式的主機名稱會做為觀察器主機名稱。
`agent.id`	`observer.asset_id`	系統會將代理商 ID 與代理商類型合併，建立觀察者資產 ID (例如 `filebeat: <agent_id>`)。
`agent.type`	`observer.application`	代理程式類型會做為觀察者應用程式。
`agent.version`	`observer.platform_version`	代理程式版本會做為觀察器平台版本。
`host.hostname`	`principal.hostname`	主機的主機名稱會做為主要主機名稱。
`host.id`	`principal.asset.asset_id`	主機 ID 會加上 `Host Id:` 前置字元，建立主體資產 ID。
`host.ip`	`principal.ip`、`observer.ip`	主機的 IP 位址會用於主體和觀察者 IP。如果有多個 IP，系統會合併成陣列。
`host.mac`	`principal.mac`	主機的 MAC 位址會做為主要 MAC 位址。如果有多個 MAC，系統會將其合併為陣列。
`host.os.family`	`principal.platform`	如果主機 OS 系列為 `rhel` 或 `redhat`，主要平台會設為 `LINUX`。
`host.os.kernel`	`principal.platform_patch_level`	主機 OS 核心版本會做為主要平台修補程式層級。
`host.os.name`	`additional.fields[os_name].value.string_value`	主機 OS 名稱會以鍵/值組合的形式新增至 `additional` 欄位。
`host.os.version`	`principal.platform_version`	主機 OS 版本會做為主要平台版本。
`log.file.path`	`principal.process.file.full_path`	記錄路徑會做為主要程序檔案的完整路徑。
`log_level`	`security_result.severity`、`security_result.severity_details`、`security_result.action`	記錄層級用於判斷安全性結果嚴重程度、嚴重程度詳細資料和動作。DEBUG、INFO 和 AUDIT 會對應至 INFORMATIONAL 嚴重程度和 ALLOW 動作。ERROR 會對應至 ERROR 嚴重程度和 BLOCK 動作。WARNING 和 WARN 會對應到中等嚴重程度和 BLOCK 動作。原始 log_level 值也會對應至 severity_details。
`logstash.irm_environment`	`additional.fields[irm_environment].value.string_value`	Logstash 的 Iron Mountain 環境會以鍵/值組合的形式新增至 `additional` 欄位。
`logstash.irm_region`	`additional.fields[irm_region].value.string_value`	Logstash 的 Iron Mountain 區域會以鍵/值組合的形式新增至 `additional` 欄位。
`logstash.irm_site`	`additional.fields[irm_site].value.string_value`	Logstash 的 Iron Mountain 網站會以鍵/值組合的形式新增至 `additional` 欄位。
`logstash.process.host`	`intermediary.hostname`	Logstash 處理主機會做為中介主機名稱。
`logstash.process.timestamp`	`metadata.collected_timestamp`	系統會使用 Logstash 處理時間戳記做為收集時間戳記。
`logstash.xyz_environment`	`additional.fields[xyz_environment].value.string_value`	Logstash 中的 xyz 環境會以鍵/值組合的形式新增至 `additional` 欄位。
`logstash.xyz_region`	`additional.fields[xyz_region].value.string_value`	Logstash 中的 xyz 區域會以鍵/值組合的形式新增至 `additional` 欄位。
`logstash.xyz_site`	`additional.fields[xyz_site].value.string_value`	Logstash 中的 xyz 網站會以鍵/值組合的形式新增至 `additional` 欄位。
`message`	`metadata.description`	系統會將訊息欄位剖析為 JSON，並將其 `event_message` 欄位做為中繼資料說明。中介應用程式已硬式編碼為 `logstash`。中繼資料事件類型會硬式編碼為 `USER_UNCATEGORIZED`。中繼資料記錄類型是從原始記錄的 batch.type 或 batch.log_type 設為 `TOMCAT`。中繼資料產品名稱會硬式編碼為 `Tomcat`。中繼資料供應商名稱是以硬式編碼設為 `Tomcat`。
`user`	`principal.user.userid`	原始記錄中的使用者欄位會做為主體使用者 ID。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。