Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Apache のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane エージェントを使用して Apache ログを Google Security Operations に取り込む方法について説明します。

Apache HTTP Server は、HTTP リクエストを処理し、アクセスログとエラーログを生成するオープンソースのウェブサーバーです。パーサーは、標準の結合/共通ログ形式と JSON 形式のログの両方を処理し、HTTP リクエストの詳細、レスポンスコード、クライアント情報を抽出します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
Windows Server 2016 以降、または systemd を使用する Linux ホスト
Bindplane エージェントと Apache サーバー間のネットワーク接続
プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォールポートが開いていることを確認します。
Apache サーバーへの特権アクセス（root または sudo）

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。

注: この JSON ファイルには、Bindplane エージェントを Google SecOps に対して認証するための認証情報が含まれています。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

注: Bindplane エージェントエクスポータを構成するには、顧客 ID が必要です。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティングシステムに Bindplane エージェントをインストールします。

Windows のインストール

管理者としてコマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sc query observiq-otel-collector
```
サービスは RUNNING と表示されます。

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

インストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
```
sudo systemctl status observiq-otel-collector
```
サービスが [active (running)] と表示されます。

その他のインストールリソース

その他のインストールオプションとトラブルシューティングについては、Bindplane エージェントのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

config.yaml の内容全体を次の構成に置き換えます。

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

構成パラメータ

各プレースホルダを次のように置き換えます。

レシーバーの構成:
- listen_address: リッスンする IP アドレスとポート:
  - すべてのインターフェースでリッスンする 0.0.0.0（推奨）
  - ポート 514 は標準の syslog ポートです（Linux で root が必要。root 以外の場合は 1514 を使用）
エクスポータの構成:
- creds_file_path: 取り込み認証ファイルのフルパス:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: Google SecOps コンソールからコピーしたお客様 ID
- endpoint: リージョナルエンドポイント URL:
  - 米国: malachiteingestion-pa.googleapis.com
  - ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
  - アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
  - 完全なリストについては、リージョンエンドポイントをご覧ください。

構成ファイルを保存する

編集後、ファイルを保存します。
- Linux: Ctrl+O、Enter、Ctrl+X の順に押します。
- Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart observiq-otel-collector
```
1. サービスが実行されていることを確認します。
```
sudo systemctl status observiq-otel-collector
```
2. ログでエラーを確認します。
```
sudo journalctl -u observiq-otel-collector -f
```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
- 管理者としてコマンドプロンプトまたは PowerShell を開きます。
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- サービスコンソール:
  1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
  2. observIQ OpenTelemetry Collector を見つけます。
  3. 右クリックして [再起動] を選択します。
  4. サービスが実行されていることを確認します。
```
sc query observiq-otel-collector
```
  5. ログでエラーを確認します。
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Apache で syslog を構成する

SSH を使用して Apache をホストするサーバーにログインします。
/etc/rsyslog.d/ に 02-apache2.conf という名前のファイルを作成します。
```
vim /etc/rsyslog.d/02-apache2.conf
```

ファイルに次のコードを追加します。

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

<BINDPLANE_IP> と <BINDPLANE_PORT> は、Bindplane エージェント用に構成された IP アドレスとポートに置き換えます。
TCP プロトコルを使用している場合は、ホスト行に @ を追加します（例: @@<BINDPLANE_IP>:<BINDPLANE_PORT>）。

rsyslog サービスを再起動します。
```
sudo service rsyslog restart
```

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`bytes`	`network.received_bytes`	クライアントから受信したバイト数。
`bytes`	`network.sent_bytes`	クライアントに送信されたバイト数。
`bytes_out`	`network.sent_bytes`	クライアントに送信されたバイト数。
`bytes_received`	`network.received_bytes`	クライアントから受信したバイト数。
`Content`	`network.http.method`	「Content」フィールドから抽出された HTTP メソッド。
`Content`	`target.url`	「Content」フィールドから抽出されたターゲット URL。
`cookie`	`additional.fields.value.string_value`	「cookie」フィールドの値。
`dest_ip`	`target.ip`	ターゲットの IP アドレス。
`dest_name`	`target.hostname`	ターゲットのホスト名。
`dest_port`	`target.port`	ターゲットのポート。
`description`	`metadata.description`	イベントの説明。
`duration_microseconds`	`additional.fields.value.string_value`	「duration_microseconds」フィールドの値。
`file_full_path`	`target.file.full_path`	ターゲットファイルのフルパス。
`hostname`	`target.hostname`	ターゲットのホスト名。
`http_content_type`	`additional.fields.value.string_value`	「http_content_type」フィールドの値。
`http_host`	`principal.hostname`	プリンシパルのホスト名。
`http_method`	`network.http.method`	HTTP メソッド。
`http_referrer`	`network.http.referral_url`	HTTP リファラー URL。
`http_user_agent`	`network.http.user_agent`	HTTP ユーザーエージェント。
`ID`	`metadata.id`	イベントの ID。
`insertId`	`metadata.product_log_id`	プロダクトログ ID。
`ip`	`principal.ip`	プリンシパルの IP アドレス。
`jsonPayload.cIP`	`target.ip`	ターゲットの IP アドレス。
`jsonPayload.cPort`	`target.port`	ターゲットのポート。
`jsonPayload.csBytes`	`network.sent_bytes`	クライアントに送信されたバイト数。
`jsonPayload.csMethod`	`network.http.method`	HTTP メソッド。
`jsonPayload.csMimeType`	`target.file.mime_type`	ターゲットファイルの MIME タイプ。
`jsonPayload.csReferer`	`network.http.referral_url`	HTTP リファラー URL。
`jsonPayload.csURL`	`target.url`	ターゲット URL。
`jsonPayload.csUserAgent`	`network.http.user_agent`	HTTP ユーザーエージェント。
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	「sHierarchy」フィールドの値。
`jsonPayload.sHostname`	`principal.hostname`	プリンシパルのホスト名。
`jsonPayload.sIP`	`principal.ip`	プリンシパルの IP アドレス。
`jsonPayload.scBytes`	`network.received_bytes`	クライアントから受信したバイト数。
`jsonPayload.scHTTPStatus`	`network.http.response_code`	HTTP レスポンスコード。
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	「scResultCode」フィールドの値。
`LastStatus`	`network.http.response_code`	HTTP レスポンスコード。
`log_level`	`security_result.severity`	セキュリティ結果の重大度。
`logName`	`security_result.category_details`	セキュリティ結果のカテゴリの詳細。
`method`	`network.http.method`	HTTP メソッド。
`pid`	`principal.process.pid`	プリンシパルのプロセス ID。
`Port`	`target.port`	ターゲットのポート。
`proto`	`network.application_protocol`	アプリケーションプロトコル。
`referer`	`network.http.referral_url`	HTTP リファラー URL。
`RemoteHost`	`principal.ip`	プリンシパルの IP アドレス。
`RemoteUser`	`principal.user.userid`	プリンシパルのユーザー ID。
`resource.labels.instance_id`	`target.resource.product_object_id`	ターゲットリソースのプロダクトオブジェクト ID。
`resource.labels.project_id`	`target.resource.attribute.labels.value`	「project_id」ラベルの値。
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	ターゲットリソースのアベイラビリティゾーン。
`resource.type`	`target.resource.resource_type`	ターゲットのリソースタイプ。
`response`	`network.http.response_code`	HTTP レスポンスコード。
`SizeBytes`	`network.received_bytes`	クライアントから受信したバイト数。
`src_ip`	`principal.ip`	プリンシパルの IP アドレス。
`src_port`	`principal.port`	プリンシパルのポート。
`ssl_cipher`	`network.tls.cipher`	TLS 暗号。
`ssl_version`	`network.tls.version_protocol`	TLS バージョンプロトコル。
`status`	`network.http.response_code`	HTTP レスポンスコード。
`target`	`target.url`	ターゲット URL。
`target_ip`	`target.ip`	ターゲットの IP アドレス。
`target_port`	`target.port`	ターゲットのポート。
`time`	`metadata.event_timestamp`	イベントのタイムスタンプ。
`uri_path`	`target.process.file.full_path`	ターゲットファイルのフルパス。
`user`	`principal.user.userid`	プリンシパルのユーザー ID。
`useragent`	`network.http.user_agent`	HTTP ユーザーエージェント。
`version_protocol`	`network.tls.version_protocol`	TLS バージョンプロトコル。
`Workername`	`principal.hostname`	プリンシパルのホスト名。
`x_forwarded_for`		「X-Forwarded-For」ヘッダーの値。
	`metadata.log_type`	パーサーコードで「APACHE」に設定されます。
	`metadata.product_name`	パーサーコードで「Apache Web Server」に設定されます。
	`metadata.vendor_name`	パーサーコードで「Apache」に設定されます。
	`metadata.event_type`	この値は、プリンシパルとターゲットの情報が存在するかどうかによって決まります。プリンシパルとターゲットの両方が存在する場合、イベントタイプは「NETWORK_HTTP」に設定されます。プリンシパルのみが存在する場合、イベントタイプは「STATUS_UPDATE」に設定されます。それ以外の場合は、「GENERIC_EVENT」に設定されます。
	`additional.fields.key`	キーは、フィールドに基づいてパーサーコードで「keep_alive」、「duration_microseconds」、「cookie」、「http_content_type」、「sHierarchy」、「scResultCode」に設定されます。
	`target.port`	「proto」フィールドが「HTTP」の場合、ポートは 80 に設定されます。「proto」フィールドが「HTTPS」の場合、ポートは 443 に設定されます。「proto」フィールドが「FTP」の場合、ポートは 21 に設定されます。
	`target.resource.attribute.labels.key`	キーはパーサーコードで「project_id」に設定されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。