Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Apache

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Apache no Google Security Operations usando o agente do Bindplane.

O Apache HTTP Server é um servidor da Web de código aberto que atende a solicitações HTTP e gera registros de acesso e erros. O analisador processa formatos de registro combinados/comuns padrão e registros formatados em JSON, extraindo detalhes de solicitações HTTP, códigos de resposta e informações do cliente.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o servidor Apache
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso privilegiado ao servidor Apache (root ou sudo)

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o agente do Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente do Bindplane.

Instalar o agente do Bindplane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do syslog (requer raiz no Linux; use 1514 para não raiz)
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID do cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está em execução:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar o syslog no Apache

Faça login no servidor que hospeda o Apache usando SSH.
Crie um arquivo em /etc/rsyslog.d/ chamado 02-apache2.conf:
```
vim /etc/rsyslog.d/02-apache2.conf
```

Adicione o seguinte código ao arquivo:

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

Substitua <BINDPLANE_IP> e <BINDPLANE_PORT> pelo endereço IP e pela porta configurados para o agente do Bindplane.
Se você estiver usando o protocolo TCP, adicione um @ extra à linha do host (por exemplo, @@<BINDPLANE_IP>:<BINDPLANE_PORT>).

Reinicie os serviços rsyslog:
```
sudo service rsyslog restart
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`bytes`	`network.received_bytes`	Bytes recebidos do cliente.
`bytes`	`network.sent_bytes`	Bytes enviados ao cliente.
`bytes_out`	`network.sent_bytes`	Bytes enviados ao cliente.
`bytes_received`	`network.received_bytes`	Bytes recebidos do cliente.
`Content`	`network.http.method`	Método HTTP extraído do campo "Conteúdo".
`Content`	`target.url`	URL de destino extraído do campo "Conteúdo".
`cookie`	`additional.fields.value.string_value`	Valor do campo "cookie".
`dest_ip`	`target.ip`	Endereço IP do destino.
`dest_name`	`target.hostname`	Nome do host do destino.
`dest_port`	`target.port`	Porta do destino.
`description`	`metadata.description`	É a descrição do evento.
`duration_microseconds`	`additional.fields.value.string_value`	Valor do campo "duration_microseconds".
`file_full_path`	`target.file.full_path`	Caminho completo do arquivo de destino.
`hostname`	`target.hostname`	Nome do host do destino.
`http_content_type`	`additional.fields.value.string_value`	Valor do campo "http_content_type".
`http_host`	`principal.hostname`	Nome do host do principal.
`http_method`	`network.http.method`	Método HTTP.
`http_referrer`	`network.http.referral_url`	URL do referenciador HTTP.
`http_user_agent`	`network.http.user_agent`	User agent HTTP.
`ID`	`metadata.id`	ID do evento.
`insertId`	`metadata.product_log_id`	ID do registro do produto.
`ip`	`principal.ip`	Endereço IP do principal.
`jsonPayload.cIP`	`target.ip`	Endereço IP do destino.
`jsonPayload.cPort`	`target.port`	Porta do destino.
`jsonPayload.csBytes`	`network.sent_bytes`	Bytes enviados ao cliente.
`jsonPayload.csMethod`	`network.http.method`	Método HTTP.
`jsonPayload.csMimeType`	`target.file.mime_type`	Tipo MIME do arquivo de destino.
`jsonPayload.csReferer`	`network.http.referral_url`	URL do referenciador HTTP.
`jsonPayload.csURL`	`target.url`	URL de destino.
`jsonPayload.csUserAgent`	`network.http.user_agent`	User agent HTTP.
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	Valor do campo "sHierarchy".
`jsonPayload.sHostname`	`principal.hostname`	Nome do host do principal.
`jsonPayload.sIP`	`principal.ip`	Endereço IP do principal.
`jsonPayload.scBytes`	`network.received_bytes`	Bytes recebidos do cliente.
`jsonPayload.scHTTPStatus`	`network.http.response_code`	Código de resposta HTTP.
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	Valor do campo "scResultCode".
`LastStatus`	`network.http.response_code`	Código de resposta HTTP.
`log_level`	`security_result.severity`	Gravidade do resultado de segurança.
`logName`	`security_result.category_details`	Detalhes da categoria do resultado de segurança.
`method`	`network.http.method`	Método HTTP.
`pid`	`principal.process.pid`	ID do processo do principal.
`Port`	`target.port`	Porta do destino.
`proto`	`network.application_protocol`	Protocolo de aplicativo.
`referer`	`network.http.referral_url`	URL do referenciador HTTP.
`RemoteHost`	`principal.ip`	Endereço IP do principal.
`RemoteUser`	`principal.user.userid`	ID do usuário do principal.
`resource.labels.instance_id`	`target.resource.product_object_id`	ID do objeto do produto do recurso de destino.
`resource.labels.project_id`	`target.resource.attribute.labels.value`	Valor do rótulo "project_id".
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	Zona de disponibilidade do recurso de destino.
`resource.type`	`target.resource.resource_type`	Tipo de recurso do destino.
`response`	`network.http.response_code`	Código de resposta HTTP.
`SizeBytes`	`network.received_bytes`	Bytes recebidos do cliente.
`src_ip`	`principal.ip`	Endereço IP do principal.
`src_port`	`principal.port`	Porta do principal.
`ssl_cipher`	`network.tls.cipher`	Criptografia TLS.
`ssl_version`	`network.tls.version_protocol`	Protocolo de versão TLS.
`status`	`network.http.response_code`	Código de resposta HTTP.
`target`	`target.url`	URL de destino.
`target_ip`	`target.ip`	Endereço IP do destino.
`target_port`	`target.port`	Porta do destino.
`time`	`metadata.event_timestamp`	Carimbo de data/hora do evento.
`uri_path`	`target.process.file.full_path`	Caminho completo do arquivo de destino.
`user`	`principal.user.userid`	ID do usuário do principal.
`useragent`	`network.http.user_agent`	User agent HTTP.
`version_protocol`	`network.tls.version_protocol`	Protocolo da versão TLS.
`Workername`	`principal.hostname`	Nome do host do principal.
`x_forwarded_for`		Valor do cabeçalho "X-Forwarded-For".
	`metadata.log_type`	O valor é definido como "APACHE" no código do analisador.
	`metadata.product_name`	O valor é definido como "Apache Web Server" no código do analisador.
	`metadata.vendor_name`	O valor é definido como "Apache" no código do analisador.
	`metadata.event_type`	O valor é determinado com base na presença de informações principais e de destino. Se o principal e o destino estiverem presentes, o tipo de evento será definido como "NETWORK_HTTP". Se apenas o principal estiver presente, o tipo de evento será definido como "STATUS_UPDATE". Caso contrário, será definido como "GENERIC_EVENT".
	`additional.fields.key`	A chave é definida como "keep_alive", "duration_microseconds", "cookie", "http_content_type", "sHierarchy", "scResultCode" no código do analisador com base no campo.
	`target.port`	Se o campo "proto" for "HTTP", a porta será definida como 80. Se o campo "proto" for "HTTPS", a porta será definida como 443. Se o campo "proto" for "FTP", a porta será definida como 21.
	`target.resource.attribute.labels.key`	A chave é definida como "project_id" no código do analisador.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.