Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log Apache

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log Apache in Google Security Operations utilizzando l'agente Bindplane.

Apache HTTP Server è un server web open source che gestisce le richieste HTTP e genera log di accesso ed errori. Il parser gestisce sia i formati di log combinati/comuni standard sia i log in formato JSON, estraendo i dettagli delle richieste HTTP, i codici di risposta e le informazioni sul client.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server Apache
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi al server Apache (root o sudo)

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare Syslog in Apache

Accedi al server che ospita Apache utilizzando SSH.
Crea un file in /etc/rsyslog.d/ denominato 02-apache2.conf:
```
vim /etc/rsyslog.d/02-apache2.conf
```

Aggiungi il seguente codice al file:

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

Sostituisci <BINDPLANE_IP> e <BINDPLANE_PORT> con l'indirizzo IP e la porta configurati per l'agente Bindplane.
Se utilizzi il protocollo TCP, aggiungi un ulteriore @ alla riga dell'host (ad esempio, @@<BINDPLANE_IP>:<BINDPLANE_PORT>).

Riavvia i servizi rsyslog:
```
sudo service rsyslog restart
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`bytes`	`network.received_bytes`	Byte ricevuti dal client.
`bytes`	`network.sent_bytes`	Byte inviati al client.
`bytes_out`	`network.sent_bytes`	Byte inviati al client.
`bytes_received`	`network.received_bytes`	Byte ricevuti dal client.
`Content`	`network.http.method`	Metodo HTTP estratto dal campo "Contenuti".
`Content`	`target.url`	URL di destinazione estratto dal campo "Contenuti".
`cookie`	`additional.fields.value.string_value`	Valore del campo "cookie".
`dest_ip`	`target.ip`	L'indirizzo IP della destinazione.
`dest_name`	`target.hostname`	Il nome host della destinazione.
`dest_port`	`target.port`	Porta della destinazione.
`description`	`metadata.description`	Descrizione dell'evento.
`duration_microseconds`	`additional.fields.value.string_value`	Valore del campo "duration_microseconds".
`file_full_path`	`target.file.full_path`	Percorso completo del file di destinazione.
`hostname`	`target.hostname`	Il nome host della destinazione.
`http_content_type`	`additional.fields.value.string_value`	Valore del campo "http_content_type".
`http_host`	`principal.hostname`	Il nome host dell'entità.
`http_method`	`network.http.method`	Metodo HTTP.
`http_referrer`	`network.http.referral_url`	URL referrer HTTP.
`http_user_agent`	`network.http.user_agent`	User agent HTTP.
`ID`	`metadata.id`	L'ID dell'evento.
`insertId`	`metadata.product_log_id`	ID log prodotto.
`ip`	`principal.ip`	L'indirizzo IP dell'entità.
`jsonPayload.cIP`	`target.ip`	L'indirizzo IP della destinazione.
`jsonPayload.cPort`	`target.port`	Porta della destinazione.
`jsonPayload.csBytes`	`network.sent_bytes`	Byte inviati al client.
`jsonPayload.csMethod`	`network.http.method`	Metodo HTTP.
`jsonPayload.csMimeType`	`target.file.mime_type`	Tipo MIME del file di destinazione.
`jsonPayload.csReferer`	`network.http.referral_url`	URL referrer HTTP.
`jsonPayload.csURL`	`target.url`	URL di destinazione.
`jsonPayload.csUserAgent`	`network.http.user_agent`	User agent HTTP.
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	Valore del campo "sHierarchy".
`jsonPayload.sHostname`	`principal.hostname`	Il nome host dell'entità.
`jsonPayload.sIP`	`principal.ip`	L'indirizzo IP dell'entità.
`jsonPayload.scBytes`	`network.received_bytes`	Byte ricevuti dal client.
`jsonPayload.scHTTPStatus`	`network.http.response_code`	Codice di risposta HTTP.
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	Valore del campo "scResultCode".
`LastStatus`	`network.http.response_code`	Codice di risposta HTTP.
`log_level`	`security_result.severity`	Gravità del risultato di sicurezza.
`logName`	`security_result.category_details`	Dettagli della categoria del risultato di sicurezza.
`method`	`network.http.method`	Metodo HTTP.
`pid`	`principal.process.pid`	ID processo dell'entità.
`Port`	`target.port`	Porta della destinazione.
`proto`	`network.application_protocol`	Protocollo applicativo.
`referer`	`network.http.referral_url`	URL referrer HTTP.
`RemoteHost`	`principal.ip`	L'indirizzo IP dell'entità.
`RemoteUser`	`principal.user.userid`	ID utente del soggetto.
`resource.labels.instance_id`	`target.resource.product_object_id`	ID oggetto prodotto della risorsa di destinazione.
`resource.labels.project_id`	`target.resource.attribute.labels.value`	Valore dell'etichetta "project_id".
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	Zona di disponibilità della risorsa di destinazione.
`resource.type`	`target.resource.resource_type`	Tipo di risorsa della destinazione.
`response`	`network.http.response_code`	Codice di risposta HTTP.
`SizeBytes`	`network.received_bytes`	Byte ricevuti dal client.
`src_ip`	`principal.ip`	L'indirizzo IP dell'entità.
`src_port`	`principal.port`	Porto dell'entità.
`ssl_cipher`	`network.tls.cipher`	Cifrario TLS.
`ssl_version`	`network.tls.version_protocol`	Protocollo della versione TLS.
`status`	`network.http.response_code`	Codice di risposta HTTP.
`target`	`target.url`	URL di destinazione.
`target_ip`	`target.ip`	L'indirizzo IP della destinazione.
`target_port`	`target.port`	Porta della destinazione.
`time`	`metadata.event_timestamp`	Timestamp dell'evento.
`uri_path`	`target.process.file.full_path`	Percorso completo del file di destinazione.
`user`	`principal.user.userid`	ID utente del soggetto.
`useragent`	`network.http.user_agent`	User agent HTTP.
`version_protocol`	`network.tls.version_protocol`	Protocollo della versione TLS.
`Workername`	`principal.hostname`	Il nome host dell'entità.
`x_forwarded_for`		Valore dell'intestazione "X-Forwarded-For".
	`metadata.log_type`	Il valore è impostato su "APACHE" nel codice del parser.
	`metadata.product_name`	Il valore è impostato su "Apache Web Server" nel codice del parser.
	`metadata.vendor_name`	Il valore è impostato su "Apache" nel codice del parser.
	`metadata.event_type`	Il valore viene determinato in base alla presenza delle informazioni sul principale e sul target. Se sono presenti sia il principale che il target, il tipo di evento è impostato su "NETWORK_HTTP". Se è presente solo l'entità, il tipo di evento è impostato su "STATUS_UPDATE". In caso contrario, viene impostato su "GENERIC_EVENT".
	`additional.fields.key`	La chiave è impostata su "keep_alive", "duration_microseconds", "cookie", "http_content_type", "sHierarchy", "scResultCode" nel codice del parser in base al campo.
	`target.port`	Se il campo "proto" è "HTTP", la porta è impostata su 80. Se il campo "proto" è "HTTPS", la porta è impostata su 443. Se il campo "proto" è "FTP", la porta è impostata su 21.
	`target.resource.attribute.labels.key`	La chiave è impostata su "project_id" nel codice del parser.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.