Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Apache

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Apache dans Google Security Operations à l'aide de l'agent Bindplane.

Apache HTTP Server est un serveur Web Open Source qui traite les requêtes HTTP et génère des journaux d'accès et d'erreurs. L'analyseur gère les formats de journaux combinés/communs standards et les journaux au format JSON. Il extrait les détails des requêtes HTTP, les codes de réponse et les informations sur les clients.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et le serveur Apache
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Un accès privilégié au serveur Apache (root ou sudo)

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non racine).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
sudo systemctl status observiq-otel-collector
```
2. Recherchez les erreurs dans les journaux :
```
sudo journalctl -u observiq-otel-collector -f
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer syslog dans Apache

Connectez-vous au serveur hébergeant Apache à l'aide de SSH.
Créez un fichier nommé 02-apache2.conf sous /etc/rsyslog.d/ :
```
vim /etc/rsyslog.d/02-apache2.conf
```

Ajoutez le code suivant au fichier :

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

Remplacez <BINDPLANE_IP> et <BINDPLANE_PORT> par l'adresse IP et le port configurés pour l'agent Bindplane.
Si vous utilisez le protocole TCP, ajoutez un @ supplémentaire à la ligne de l'hôte (par exemple, @@<BINDPLANE_IP>:<BINDPLANE_PORT>).

Redémarrez les services rsyslog :
```
sudo service rsyslog restart
```

Table de mappage UDM

Champ du journal	Mappage UDM	Logique
`bytes`	`network.received_bytes`	Octets reçus du client.
`bytes`	`network.sent_bytes`	Octets envoyés au client.
`bytes_out`	`network.sent_bytes`	Octets envoyés au client.
`bytes_received`	`network.received_bytes`	Octets reçus du client.
`Content`	`network.http.method`	Méthode HTTP extraite du champ "Contenu".
`Content`	`target.url`	URL cible extraite du champ "Contenu".
`cookie`	`additional.fields.value.string_value`	Valeur du champ "cookie".
`dest_ip`	`target.ip`	Adresse IP de la cible.
`dest_name`	`target.hostname`	Nom d'hôte de la cible.
`dest_port`	`target.port`	Port de la cible.
`description`	`metadata.description`	Description de l'événement.
`duration_microseconds`	`additional.fields.value.string_value`	Valeur du champ "duration_microseconds".
`file_full_path`	`target.file.full_path`	Chemin d'accès complet au fichier cible.
`hostname`	`target.hostname`	Nom d'hôte de la cible.
`http_content_type`	`additional.fields.value.string_value`	Valeur du champ "http_content_type".
`http_host`	`principal.hostname`	Nom d'hôte du principal.
`http_method`	`network.http.method`	Méthode HTTP.
`http_referrer`	`network.http.referral_url`	URL de provenance HTTP.
`http_user_agent`	`network.http.user_agent`	User-agent HTTP.
`ID`	`metadata.id`	ID de l'événement.
`insertId`	`metadata.product_log_id`	ID du journal du produit.
`ip`	`principal.ip`	Adresse IP du compte principal.
`jsonPayload.cIP`	`target.ip`	Adresse IP de la cible.
`jsonPayload.cPort`	`target.port`	Port de la cible.
`jsonPayload.csBytes`	`network.sent_bytes`	Octets envoyés au client.
`jsonPayload.csMethod`	`network.http.method`	Méthode HTTP.
`jsonPayload.csMimeType`	`target.file.mime_type`	Type MIME du fichier cible.
`jsonPayload.csReferer`	`network.http.referral_url`	URL de provenance HTTP.
`jsonPayload.csURL`	`target.url`	URL cible.
`jsonPayload.csUserAgent`	`network.http.user_agent`	User-agent HTTP.
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	Valeur du champ "sHierarchy".
`jsonPayload.sHostname`	`principal.hostname`	Nom d'hôte du principal.
`jsonPayload.sIP`	`principal.ip`	Adresse IP du compte principal.
`jsonPayload.scBytes`	`network.received_bytes`	Octets reçus du client.
`jsonPayload.scHTTPStatus`	`network.http.response_code`	Code de réponse HTTP.
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	Valeur du champ "scResultCode".
`LastStatus`	`network.http.response_code`	Code de réponse HTTP.
`log_level`	`security_result.severity`	Gravité du résultat de sécurité.
`logName`	`security_result.category_details`	Détails de la catégorie du résultat de sécurité.
`method`	`network.http.method`	Méthode HTTP.
`pid`	`principal.process.pid`	ID de processus du compte principal.
`Port`	`target.port`	Port de la cible.
`proto`	`network.application_protocol`	Protocole d'application.
`referer`	`network.http.referral_url`	URL de provenance HTTP.
`RemoteHost`	`principal.ip`	Adresse IP du compte principal.
`RemoteUser`	`principal.user.userid`	ID utilisateur du principal.
`resource.labels.instance_id`	`target.resource.product_object_id`	ID d'objet produit de la ressource cible.
`resource.labels.project_id`	`target.resource.attribute.labels.value`	Valeur du libellé "project_id".
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	Zone de disponibilité de la ressource cible.
`resource.type`	`target.resource.resource_type`	Type de ressource de la cible.
`response`	`network.http.response_code`	Code de réponse HTTP.
`SizeBytes`	`network.received_bytes`	Octets reçus du client.
`src_ip`	`principal.ip`	Adresse IP du compte principal.
`src_port`	`principal.port`	Port du principal.
`ssl_cipher`	`network.tls.cipher`	Algorithme de chiffrement TLS.
`ssl_version`	`network.tls.version_protocol`	Protocole de version TLS.
`status`	`network.http.response_code`	Code de réponse HTTP.
`target`	`target.url`	URL cible.
`target_ip`	`target.ip`	Adresse IP de la cible.
`target_port`	`target.port`	Port de la cible.
`time`	`metadata.event_timestamp`	Code temporel de l'événement.
`uri_path`	`target.process.file.full_path`	Chemin d'accès complet au fichier cible.
`user`	`principal.user.userid`	ID utilisateur du principal.
`useragent`	`network.http.user_agent`	User-agent HTTP.
`version_protocol`	`network.tls.version_protocol`	Protocole de version TLS.
`Workername`	`principal.hostname`	Nom d'hôte du principal.
`x_forwarded_for`		Valeur de l'en-tête "X-Forwarded-For".
	`metadata.log_type`	La valeur est définie sur "APACHE" dans le code du parseur.
	`metadata.product_name`	La valeur est définie sur "Apache Web Server" dans le code du parseur.
	`metadata.vendor_name`	La valeur est définie sur "Apache" dans le code du parseur.
	`metadata.event_type`	La valeur est déterminée en fonction de la présence d'informations sur le principal et la cible. Si le principal et la cible sont tous deux présents, le type d'événement est défini sur "NETWORK_HTTP". Si seul le principal est présent, le type d'événement est défini sur "STATUS_UPDATE". Sinon, la valeur est définie sur "GENERIC_EVENT".
	`additional.fields.key`	La clé est définie sur "keep_alive", "duration_microseconds", "cookie", "http_content_type", "sHierarchy" ou "scResultCode" dans le code du parseur en fonction du champ.
	`target.port`	Si le champ "proto" est défini sur "HTTP", le port est défini sur 80. Si le champ "proto" est défini sur "HTTPS", le port est défini sur 443. Si le champ "proto" est défini sur "FTP", le port est défini sur 21.
	`target.resource.attribute.labels.key`	La clé est définie sur "project_id" dans le code du parseur.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.