收集 SOAR 日志
本文档介绍了如何使用 Google Cloud Logs Explorer 管理和监控 SOAR 日志。
此集成提供以下关键功能:
集中式监控:查看和分析从 Google SecOps SOAR 平台的 ETL、Playbook 和 Python 函数(例如,Python 脚本执行、提醒提取和 Playbook 性能)捕获的基本数据。
自定义指标和提醒:使用 Google Cloud 工具根据 Google SecOps SOAR 运营日志中记录的特定事件配置自定义指标和提醒。
设置 SOAR 日志
如需设置 SOAR 日志,请按以下步骤操作:
- 在您计划查看日志的 Google Cloud 项目中创建一个服务账号。如需了解详情,请参阅创建和管理服务账号。
- 前往 IAM 和管理 > IAM。
找到您创建的服务账号,然后依次点击 修改 修改主账号。
在分配角色部分,选择 Logs Writer。如需了解详情,请参阅预定义的“日志写入者”角色。
点击保存。
选择服务账号,然后选择您创建的服务账号。
依次点击 more_vert 更多和管理权限。
在权限部分中,点击授予访问权限。
在添加主账号部分中,添加以下主账号:
gke-init-backgroundservices@{SOAR-GCP-Project-Id}.iam.gserviceaccount.com- 如果您不知道
SOAR_GCP_Project_Id,请通过 Google 支持团队提交工单。
- 如果您不知道
在分配角色中,选择 Service Account Token Creator。如需了解详情,请参阅服务账号令牌创建器。
点击保存。
向 Google SecOps 支持团队提供已配置的服务账号的名称。
SOAR 日志
SOAR 日志写入一个单独的命名空间(称为 chronicle-soar),并按生成日志的服务进行分类。
由于日志是由后台作业生成的,因此您必须先配置此作业,以将日志发送到 Google Cloud:
如需访问 SOAR 日志,请执行以下操作:
- 在 Google Cloud 控制台中,前往 Logging > Logs Explorer。
- 选择 Google SecOps Google Cloud 项目。
在框中输入以下过滤条件,然后点击运行查询:
resource.labels.namespace_name="chronicle-soar"
如需过滤特定服务的日志,请在查询框中输入以下语法,然后点击运行查询:
resource.labels.namespace_name="chronicle-soar" resource.labels.container_name="<container_name>"将
<container_name>替换为相关服务容器:playbook、python或etl。
Playbook 日志标签
剧本日志标签提供了一种更高效便捷的方式来优化查询范围。所有标签都位于每个日志消息的 Labels 部分。
如需缩小日志范围,请展开日志消息,右键点击每个标签,然后隐藏或显示特定日志:
您可以使用以下标签:
playbook_nameplaybook_definitionblock_nameblock_definitioncase_idcorrelation_idintegration_nameaction_name
Python 日志
Python 服务提供以下日志:
```none
resource.labels.container_name="python"
```
集成和连接器标签:
integration_nameintegration_versionconnector_nameconnector_instance
作业标签:
integration_nameintegration_versionjob_name
操作标签:
integration_nameintegration_versionintegration_instancecorrelation_idaction_name
ETL 日志
ETL 服务提供以下日志:
```none
resource.labels.container_name="etl"
```
ETL 标签
correlation_id
例如,如需为提醒提供提取流程,请按 correlation_id 进行过滤:
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。