Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Apache 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Apache 記錄擷取至 Google Security Operations。

Apache HTTP Server 是一種開放原始碼網路伺服器，可處理 HTTP 要求，並產生存取和錯誤記錄。剖析器會處理標準合併/一般記錄格式和 JSON 格式的記錄，並擷取 HTTP 要求詳細資料、回應碼和用戶端資訊。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 Apache 伺服器之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Apache 伺服器的特殊存取權 (root 或 sudo)

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為RUNNING。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/apache:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: APACHE
        raw_log_field: body

service:
    pipelines:
        logs/apache_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/apache

設定參數

替換下列預留位置：

接收器設定：
- listen_address：要接聽的 IP 位址和通訊埠：
  - 0.0.0.0，監聽所有介面 (建議)
  - 通訊埠 514 是標準的系統記錄通訊埠 (在 Linux 上需要根層級權限；非根層級權限請使用 1514)
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id：從 Google SecOps 控制台複製的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

在 Apache 中設定系統記錄檔

使用 SSH 登入代管 Apache 的伺服器。
在 /etc/rsyslog.d/ 下建立名為 02-apache2.conf 的檔案：
```
vim /etc/rsyslog.d/02-apache2.conf
```

在檔案新增下列程式碼：

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/access.log"
    Tag="http_access"
    Severity="info"
    Facility="local6")

Local6.info @<BINDPLANE_IP>:<BINDPLANE_PORT>

module(load="imfile" PollingInterval="10" statefile.directory="/var/spool/rsyslog")

input(type="imfile"
    File="/var/log/apache2/error.log"
    Tag="http_error"
    Severity="error"
    Facility="local7")

Local7.error @<BINDPLANE_IP>:<BINDPLANE_PORT>

將 <BINDPLANE_IP> 和 <BINDPLANE_PORT> 替換為為 Bindplane 代理程式設定的 IP 位址和連接埠。
如果您使用 TCP 通訊協定，請在主機行中附加額外的 @ (例如 @@<BINDPLANE_IP>:<BINDPLANE_PORT>)。

重新啟動 rsyslog 服務：
```
sudo service rsyslog restart
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
`bytes`	`network.received_bytes`	從用戶端收到的位元組數。
`bytes`	`network.sent_bytes`	傳送給用戶端的位元組數。
`bytes_out`	`network.sent_bytes`	傳送給用戶端的位元組數。
`bytes_received`	`network.received_bytes`	從用戶端收到的位元組數。
`Content`	`network.http.method`	從「Content」欄位擷取的 HTTP 方法。
`Content`	`target.url`	從「內容」欄位擷取的目標網址。
`cookie`	`additional.fields.value.string_value`	「cookie」欄位的值。
`dest_ip`	`target.ip`	目標的 IP 位址。
`dest_name`	`target.hostname`	目標的主機名稱。
`dest_port`	`target.port`	目標的通訊埠。
`description`	`metadata.description`	事件說明。
`duration_microseconds`	`additional.fields.value.string_value`	「duration_microseconds」欄位的值。
`file_full_path`	`target.file.full_path`	目標檔案的完整路徑。
`hostname`	`target.hostname`	目標的主機名稱。
`http_content_type`	`additional.fields.value.string_value`	「http_content_type」欄位的值。
`http_host`	`principal.hostname`	主體的主機名稱。
`http_method`	`network.http.method`	HTTP 方法。
`http_referrer`	`network.http.referral_url`	HTTP 參照網址。
`http_user_agent`	`network.http.user_agent`	HTTP 使用者代理程式。
`ID`	`metadata.id`	活動的 ID。
`insertId`	`metadata.product_log_id`	產品記錄 ID。
`ip`	`principal.ip`	主體的 IP 位址。
`jsonPayload.cIP`	`target.ip`	目標的 IP 位址。
`jsonPayload.cPort`	`target.port`	目標的通訊埠。
`jsonPayload.csBytes`	`network.sent_bytes`	傳送給用戶端的位元組數。
`jsonPayload.csMethod`	`network.http.method`	HTTP 方法。
`jsonPayload.csMimeType`	`target.file.mime_type`	目標檔案的 MIME 類型。
`jsonPayload.csReferer`	`network.http.referral_url`	HTTP 參照網址。
`jsonPayload.csURL`	`target.url`	目標網址。
`jsonPayload.csUserAgent`	`network.http.user_agent`	HTTP 使用者代理程式。
`jsonPayload.sHierarchy`	`additional.fields.value.string_value`	「sHierarchy」欄位的值。
`jsonPayload.sHostname`	`principal.hostname`	主體的主機名稱。
`jsonPayload.sIP`	`principal.ip`	主體的 IP 位址。
`jsonPayload.scBytes`	`network.received_bytes`	從用戶端收到的位元組數。
`jsonPayload.scHTTPStatus`	`network.http.response_code`	HTTP 回應代碼。
`jsonPayload.scResultCode`	`additional.fields.value.string_value`	「scResultCode」欄位的值。
`LastStatus`	`network.http.response_code`	HTTP 回應代碼。
`log_level`	`security_result.severity`	安全結果的嚴重程度。
`logName`	`security_result.category_details`	安全結果的類別詳細資料。
`method`	`network.http.method`	HTTP 方法。
`pid`	`principal.process.pid`	主體的程序 ID。
`Port`	`target.port`	目標的通訊埠。
`proto`	`network.application_protocol`	應用程式通訊協定。
`referer`	`network.http.referral_url`	HTTP 參照網址。
`RemoteHost`	`principal.ip`	主體的 IP 位址。
`RemoteUser`	`principal.user.userid`	主體的 User ID。
`resource.labels.instance_id`	`target.resource.product_object_id`	目標資源的產品物件 ID。
`resource.labels.project_id`	`target.resource.attribute.labels.value`	「project_id」標籤的值。
`resource.labels.zone`	`target.resource.attribute.cloud.availability_zone`	目標資源的可用區。
`resource.type`	`target.resource.resource_type`	目標的資源類型。
`response`	`network.http.response_code`	HTTP 回應代碼。
`SizeBytes`	`network.received_bytes`	從用戶端收到的位元組數。
`src_ip`	`principal.ip`	主體的 IP 位址。
`src_port`	`principal.port`	主體的通訊埠。
`ssl_cipher`	`network.tls.cipher`	傳輸層安全標準 (TLS) 加密。
`ssl_version`	`network.tls.version_protocol`	TLS 版本通訊協定。
`status`	`network.http.response_code`	HTTP 回應代碼。
`target`	`target.url`	目標網址。
`target_ip`	`target.ip`	目標的 IP 位址。
`target_port`	`target.port`	目標的通訊埠。
`time`	`metadata.event_timestamp`	事件時間戳記。
`uri_path`	`target.process.file.full_path`	目標檔案的完整路徑。
`user`	`principal.user.userid`	主體的 User ID。
`useragent`	`network.http.user_agent`	HTTP 使用者代理程式。
`version_protocol`	`network.tls.version_protocol`	TLS 版本通訊協定。
`Workername`	`principal.hostname`	主體的主機名稱。
`x_forwarded_for`		「X-Forwarded-For」標頭的值。
	`metadata.log_type`	剖析器程式碼中的值會設為「APACHE」。
	`metadata.product_name`	剖析器程式碼中的值會設為「Apache Web Server」。
	`metadata.vendor_name`	剖析器程式碼中的值會設為「Apache」。
	`metadata.event_type`	系統會根據主體和目標資訊是否存在來判斷值。如果主體和目標都存在，事件類型會設為「NETWORK_HTTP」。如果只有主體，事件類型會設為「STATUS_UPDATE」。否則會設為「GENERIC_EVENT」。
	`additional.fields.key`	根據欄位，在剖析器程式碼中將鍵設為「keep_alive」、「duration_microseconds」、「cookie」、「http_content_type」、「sHierarchy」、「scResultCode」。
	`target.port`	如果「proto」欄位為「HTTP」，通訊埠會設為 80。如果「proto」欄位為「HTTPS」，通訊埠會設為 443。如果「proto」欄位為「FTP」，則通訊埠會設為 21。
	`target.resource.attribute.labels.key`	在剖析器程式碼中，鍵會設為「project_id」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。