Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log Apache

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Apache ke Google Security Operations menggunakan agen Bindplane.

Apache HTTP Server adalah server web open source yang melayani permintaan HTTP dan membuat log akses dan error. Parser menangani format log gabungan/umum standar dan log berformat JSON, mengekstrak detail permintaan HTTP, kode respons, dan informasi klien.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara agen Bindplane dan server Apache
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke server Apache (root atau sudo)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Catatan: File JSON ini berisi kredensial untuk mengautentikasi agen Bindplane ke Google SecOps.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Catatan: ID pelanggan diperlukan untuk mengonfigurasi pengekspor agen Bindplane.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```
Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sudo systemctl status observiq-otel-collector
```
Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:
- listen_address: Alamat IP dan port yang akan diproses:
  - 0.0.0.0 untuk mendengarkan di semua antarmuka (direkomendasikan)
  - Port 514 adalah port syslog standar (memerlukan root di Linux; gunakan 1514 untuk non-root)
Konfigurasi eksportir:
- creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID Pelanggan yang disalin dari konsol Google SecOps
- endpoint: URL endpoint regional:
  - Amerika Serikat: malachiteingestion-pa.googleapis.com
  - Eropa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya

Simpan file konfigurasi

Setelah mengedit, simpan file:
- Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
- Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengonfigurasi syslog di Apache

Login ke server yang menghosting Apache menggunakan SSH.
Buat file di /etc/rsyslog.d/ bernama 02-apache2.conf:
```
vim /etc/rsyslog.d/02-apache2.conf
```

Tambahkan kode berikut ke file:

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

Ganti <BINDPLANE_IP> dan <BINDPLANE_PORT> dengan alamat IP dan port yang dikonfigurasi untuk agen Bindplane.
Jika Anda menggunakan protokol TCP, tambahkan @ tambahan ke baris host (misalnya, @@<BINDPLANE_IP>:<BINDPLANE_PORT>).

Mulai ulang layanan rsyslog:
```
sudo service rsyslog restart
```

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
`bytes`	`network.received_bytes`	Byte yang diterima dari klien.
`bytes`	`network.sent_bytes`	Byte yang dikirim ke klien.
`bytes_out`	`network.sent_bytes`	Byte yang dikirim ke klien.
`bytes_received`	`network.received_bytes`	Byte yang diterima dari klien.
`Content`	`network.http.method`	Metode HTTP yang diekstrak dari kolom "Content".
`Content`	`target.url`	URL target diekstrak dari kolom "Konten".
`cookie`	`additional.fields.value.string_value`	Nilai kolom "cookie".
`dest_ip`	`target.ip`	Alamat IP target.
`dest_name`	`target.hostname`	Nama host target.
`dest_port`	`target.port`	Port target.
`description`	`metadata.description`	Deskripsi peristiwa.
`duration_microseconds`	`additional.fields.value.string_value`	Nilai kolom "duration_microseconds".
`file_full_path`	`target.file.full_path`	Jalur lengkap file target.
`hostname`	`target.hostname`	Nama host target.
`http_content_type`	`additional.fields.value.string_value`	Nilai kolom "http_content_type".
`http_host`	`principal.hostname`	Nama host prinsipal.
`http_method`	`network.http.method`	Metode HTTP.
`http_referrer`	`network.http.referral_url`	URL perujuk HTTP.
`http_user_agent`	`network.http.user_agent`	Agen pengguna HTTP.
`ID`	`metadata.id`	ID acara.
`insertId`	`metadata.product_log_id`	ID log produk.
`ip`	`principal.ip`	Alamat IP kepala sekolah.
`jsonPayload.cIP`	`target.ip`	Alamat IP target.
`jsonPayload.cPort`	`target.port`	Port target.
`jsonPayload.csBytes`	`network.sent_bytes`	Byte yang dikirim ke klien.
`jsonPayload.csMethod`	`network.http.method`	Metode HTTP.
`jsonPayload.csMimeType`	`target.file.mime_type`	Jenis MIME file target.
`jsonPayload.csReferer`	`network.http.referral_url`	URL perujuk HTTP.
`jsonPayload.csURL`	`target.url`	URL target.
`jsonPayload.csUserAgent`	`network.http.user_agent`	Agen pengguna HTTP.
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	Nilai kolom "sHierarchy".
`jsonPayload.sHostname`	`principal.hostname`	Nama host prinsipal.
`jsonPayload.sIP`	`principal.ip`	Alamat IP kepala sekolah.
`jsonPayload.scBytes`	`network.received_bytes`	Byte yang diterima dari klien.
`jsonPayload.scHTTPStatus`	`network.http.response_code`	Kode respons HTTP.
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	Nilai kolom "scResultCode".
`LastStatus`	`network.http.response_code`	Kode respons HTTP.
`log_level`	`security_result.severity`	Tingkat keparahan hasil keamanan.
`logName`	`security_result.category_details`	Detail kategori hasil keamanan.
`method`	`network.http.method`	Metode HTTP.
`pid`	`principal.process.pid`	ID proses prinsipal.
`Port`	`target.port`	Port target.
`proto`	`network.application_protocol`	Protokol aplikasi.
`referer`	`network.http.referral_url`	URL perujuk HTTP.
`RemoteHost`	`principal.ip`	Alamat IP kepala sekolah.
`RemoteUser`	`principal.user.userid`	ID pengguna prinsipal.
`resource.labels.instance_id`	`target.resource.product_object_id`	ID objek produk dari resource target.
`resource.labels.project_id`	`target.resource.attribute.labels.value`	Nilai label "project_id".
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	Zona ketersediaan resource target.
`resource.type`	`target.resource.resource_type`	Jenis resource target.
`response`	`network.http.response_code`	Kode respons HTTP.
`SizeBytes`	`network.received_bytes`	Byte yang diterima dari klien.
`src_ip`	`principal.ip`	Alamat IP kepala sekolah.
`src_port`	`principal.port`	Port entitas.
`ssl_cipher`	`network.tls.cipher`	Cipher TLS.
`ssl_version`	`network.tls.version_protocol`	Protokol versi TLS.
`status`	`network.http.response_code`	Kode respons HTTP.
`target`	`target.url`	URL target.
`target_ip`	`target.ip`	Alamat IP target.
`target_port`	`target.port`	Port target.
`time`	`metadata.event_timestamp`	Stempel waktu peristiwa.
`uri_path`	`target.process.file.full_path`	Jalur lengkap file target.
`user`	`principal.user.userid`	ID pengguna prinsipal.
`useragent`	`network.http.user_agent`	Agen pengguna HTTP.
`version_protocol`	`network.tls.version_protocol`	Protokol versi TLS.
`Workername`	`principal.hostname`	Nama host prinsipal.
`x_forwarded_for`		Nilai header "X-Forwarded-For".
	`metadata.log_type`	Nilai ditetapkan ke "APACHE" dalam kode parser.
	`metadata.product_name`	Nilai ditetapkan ke "Apache Web Server" dalam kode parser.
	`metadata.vendor_name`	Nilai ditetapkan ke "Apache" dalam kode parser.
	`metadata.event_type`	Nilai ditentukan berdasarkan keberadaan informasi target dan prinsipal. Jika pokok dan target ada, jenis peristiwa ditetapkan ke "NETWORK_HTTP". Jika hanya prinsipal yang ada, jenis peristiwa ditetapkan ke "STATUS_UPDATE". Jika tidak, nilai ini akan ditetapkan ke "GENERIC_EVENT".
	`additional.fields.key`	Kunci ditetapkan ke "keep_alive", "duration_microseconds", "cookie", "http_content_type", "sHierarchy", "scResultCode" dalam kode parser berdasarkan kolom.
	`target.port`	Jika kolom "proto" adalah "HTTP", port akan ditetapkan ke 80. Jika kolom "proto" adalah "HTTPS", port akan ditetapkan ke 443. Jika kolom "proto" adalah "FTP", port akan disetel ke 21.
	`target.resource.attribute.labels.key`	Kunci ditetapkan ke "project_id" dalam kode parser.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.