Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Apache-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Apache-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Apache HTTP Server ist ein Open-Source-Webserver, der HTTP-Anfragen verarbeitet und Zugriffs- und Fehlerprotokolle generiert. Der Parser verarbeitet sowohl standardmäßige kombinierte/allgemeine Logformate als auch JSON-formatierte Logs und extrahiert HTTP-Anfragedetails, Antwortcodes und Clientinformationen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem Apache-Server
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Privilegierter Zugriff auf den Apache-Server (Root oder Sudo)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem der BindPlane-Agent installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

Konfigurationsparameter

Ersetzen Sie die folgenden Platzhalter:

Empfängerkonfiguration:
- listen_address: IP-Adresse und Port, auf die gewartet werden soll:
  - 0.0.0.0, um alle Schnittstellen zu überwachen (empfohlen)
  - Port 514 ist der Standard-Syslog-Port (erfordert Root unter Linux; verwenden Sie 1514 für Nicht-Root).
Exporter-Konfiguration:
- creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Kunden-ID, die aus der Google SecOps Console kopiert wurde
- endpoint: Regionale Endpunkt-URL:
  - USA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
- Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
1. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
2. Logs auf Fehler prüfen:
```
sudo journalctl -u observiq-otel-collector -f
```
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
- Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Services-Konsole:
  1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
  2. Suchen Sie nach observIQ OpenTelemetry Collector.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
  4. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
  5. Logs auf Fehler prüfen:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog in Apache konfigurieren

Melden Sie sich über SSH auf dem Server an, auf dem Apache gehostet wird.
Erstellen Sie unter /etc/rsyslog.d/ eine Datei mit dem Namen 02-apache2.conf:
```
vim /etc/rsyslog.d/02-apache2.conf
```

Fügen Sie den folgenden Code in die Datei ein:

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

Ersetzen Sie <BINDPLANE_IP> und <BINDPLANE_PORT> durch die IP-Adresse und den Port, die für den Bindplane-Agent konfiguriert sind.
Wenn Sie das TCP-Protokoll verwenden, hängen Sie der Hostzeile ein zusätzliches @ an (z. B. @@<BINDPLANE_IP>:<BINDPLANE_PORT>).

Starten Sie die rsyslog-Dienste neu:
```
sudo service rsyslog restart
```

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`bytes`	`network.received_bytes`	Vom Client empfangene Bytes.
`bytes`	`network.sent_bytes`	An den Client gesendete Byte.
`bytes_out`	`network.sent_bytes`	An den Client gesendete Byte.
`bytes_received`	`network.received_bytes`	Vom Client empfangene Bytes.
`Content`	`network.http.method`	HTTP-Methode, die aus dem Feld „Inhalt“ extrahiert wurde.
`Content`	`target.url`	Die Ziel-URL wurde aus dem Feld „Inhalt“ extrahiert.
`cookie`	`additional.fields.value.string_value`	Wert des Felds „cookie“.
`dest_ip`	`target.ip`	IP-Adresse des Ziels.
`dest_name`	`target.hostname`	Hostname des Ziels.
`dest_port`	`target.port`	Port des Ziels.
`description`	`metadata.description`	Beschreibung des Ereignisses.
`duration_microseconds`	`additional.fields.value.string_value`	Wert des Felds „duration_microseconds“.
`file_full_path`	`target.file.full_path`	Vollständiger Pfad der Zieldatei.
`hostname`	`target.hostname`	Hostname des Ziels.
`http_content_type`	`additional.fields.value.string_value`	Wert des Felds „http_content_type“.
`http_host`	`principal.hostname`	Hostname des Prinzipal.
`http_method`	`network.http.method`	HTTP-Methode.
`http_referrer`	`network.http.referral_url`	HTTP-Verweis-URL
`http_user_agent`	`network.http.user_agent`	HTTP-User-Agent.
`ID`	`metadata.id`	ID des Ereignisses.
`insertId`	`metadata.product_log_id`	Produkt-Log-ID.
`ip`	`principal.ip`	IP-Adresse des Hauptkontos.
`jsonPayload.cIP`	`target.ip`	IP-Adresse des Ziels.
`jsonPayload.cPort`	`target.port`	Port des Ziels.
`jsonPayload.csBytes`	`network.sent_bytes`	An den Client gesendete Byte.
`jsonPayload.csMethod`	`network.http.method`	HTTP-Methode.
`jsonPayload.csMimeType`	`target.file.mime_type`	MIME-Typ der Zieldatei.
`jsonPayload.csReferer`	`network.http.referral_url`	HTTP-Verweis-URL
`jsonPayload.csURL`	`target.url`	Ziel-URL.
`jsonPayload.csUserAgent`	`network.http.user_agent`	HTTP-User-Agent.
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	Wert des Felds „sHierarchy“.
`jsonPayload.sHostname`	`principal.hostname`	Hostname des Prinzipal.
`jsonPayload.sIP`	`principal.ip`	IP-Adresse des Hauptkontos.
`jsonPayload.scBytes`	`network.received_bytes`	Vom Client empfangene Bytes.
`jsonPayload.scHTTPStatus`	`network.http.response_code`	HTTP-Antwortcode.
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	Wert des Felds „scResultCode“.
`LastStatus`	`network.http.response_code`	HTTP-Antwortcode.
`log_level`	`security_result.severity`	Schweregrad des Sicherheitsergebnisses.
`logName`	`security_result.category_details`	Kategoriedetails des Sicherheitsergebnisses.
`method`	`network.http.method`	HTTP-Methode.
`pid`	`principal.process.pid`	Prozess-ID des Prinzipal.
`Port`	`target.port`	Port des Ziels.
`proto`	`network.application_protocol`	Anwendungsprotokoll.
`referer`	`network.http.referral_url`	HTTP-Verweis-URL
`RemoteHost`	`principal.ip`	IP-Adresse des Hauptkontos.
`RemoteUser`	`principal.user.userid`	Nutzer-ID des Prinzipal.
`resource.labels.instance_id`	`target.resource.product_object_id`	Produktobjekt-ID der Zielressource.
`resource.labels.project_id`	`target.resource.attribute.labels.value`	Wert des Labels „project_id“.
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	Verfügbarkeitszone der Zielressource.
`resource.type`	`target.resource.resource_type`	Ressourcentyp des Ziels.
`response`	`network.http.response_code`	HTTP-Antwortcode.
`SizeBytes`	`network.received_bytes`	Vom Client empfangene Bytes.
`src_ip`	`principal.ip`	IP-Adresse des Hauptkontos.
`src_port`	`principal.port`	Port des Hauptkontos.
`ssl_cipher`	`network.tls.cipher`	TLS-Chiffre.
`ssl_version`	`network.tls.version_protocol`	TLS-Version des Protokolls.
`status`	`network.http.response_code`	HTTP-Antwortcode.
`target`	`target.url`	Ziel-URL.
`target_ip`	`target.ip`	IP-Adresse des Ziels.
`target_port`	`target.port`	Port des Ziels.
`time`	`metadata.event_timestamp`	Zeitstempel des Ereignisses.
`uri_path`	`target.process.file.full_path`	Vollständiger Pfad der Zieldatei.
`user`	`principal.user.userid`	Nutzer-ID des Prinzipal.
`useragent`	`network.http.user_agent`	HTTP-User-Agent.
`version_protocol`	`network.tls.version_protocol`	TLS-Version des Protokolls.
`Workername`	`principal.hostname`	Hostname des Prinzipal.
`x_forwarded_for`		Wert des Headers „X-Forwarded-For“.
	`metadata.log_type`	Der Wert wird im Parsercode auf „APACHE“ festgelegt.
	`metadata.product_name`	Der Wert wird im Parsercode auf „Apache Web Server“ festgelegt.
	`metadata.vendor_name`	Der Wert wird im Parsercode auf „Apache“ festgelegt.
	`metadata.event_type`	Der Wert wird anhand der vorhandenen Informationen zu Haupt- und Zielvorhaben bestimmt. Wenn sowohl „principal“ als auch „target“ vorhanden sind, wird der Ereignistyp auf „NETWORK_HTTP“ festgelegt. Wenn nur der Prinzipal vorhanden ist, wird der Ereignistyp auf „STATUS_UPDATE“ festgelegt. Andernfalls wird er auf „GENERIC_EVENT“ gesetzt.
	`additional.fields.key`	Der Schlüssel wird im Parsercode basierend auf dem Feld auf „keep_alive“, „duration_microseconds“, „cookie“, „http_content_type“, „sHierarchy“ und „scResultCode“ festgelegt.
	`target.port`	Wenn das Feld „proto“ auf „HTTP“ gesetzt ist, wird der Port auf 80 festgelegt. Wenn das Feld „proto“ auf „HTTPS“ festgelegt ist, wird der Port auf 443 gesetzt. Wenn das Feld „proto“ auf „FTP“ festgelegt ist, wird der Port auf 21 gesetzt.
	`target.resource.attribute.labels.key`	Der Schlüssel ist im Parsercode auf „project_id“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten