Mengumpulkan log Cribl Stream

Didukung di:

Dokumen ini menjelaskan cara menyerap log Cribl Stream ke Google Security Operations menggunakan tujuan Google SecOps bawaan. Cribl Stream menghasilkan data operasional dalam bentuk log, metrik, dan peristiwa. Integrasi ini memungkinkan Anda mengirimkan log tersebut ke Google SecOps untuk dianalisis dan dipantau.

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps.
  • Akses ke konsol atau cluster pengelolaan Cribl Stream.
  • Kredensial akun layanan Google Cloud.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan.

Mengonfigurasi tujuan Google SecOps di Cribl Stream

  1. Login ke Cribl Stream Management Console.
  2. Buka Data > Tujuan.
  3. Klik Tambahkan Tujuan.
  4. Pilih Google Cloud > Security Operations (SecOps).
  5. Berikan detail konfigurasi berikut:
    • ID Output: Masukkan nama unik (misalnya, google-secops-destination).
    • Deskripsi: Masukkan deskripsi untuk tujuan ini.
    • Kirim peristiwa sebagai: Pilih Tidak terstruktur (direkomendasikan untuk parsing log standar).
    • Versi API: Pilih V2.
    • Jenis log default: Pilih CRIBL_STREAM dari daftar.
    • Opsional: Namespace: Masukkan namespace untuk mengidentifikasi log dari sumber ini (misalnya, cribl-logs).
  6. Di bagian Autentikasi:
    • Metode autentikasi: Akun layanan (JSON).
    • Kunci akun layanan: Upload atau tempel konten file kredensial JSON.
  7. Di bagian Pemrosesan:
    • Kolom teks log: Opsional, masukkan _raw. Jika tidak ditetapkan, Cribl akan mengirimkan representasi JSON dari seluruh peristiwa; gunakan _raw hanya jika Anda benar-benar menyimpan teks mentah di kolom ini.
  8. Klik Simpan.

Membuat rute untuk mengirim log Cribl Stream

  1. Buka Data > Rute.
  2. Klik Tambahkan Rute.
  3. Berikan detail konfigurasi berikut:
    • Nama rute: Masukkan nama yang bermakna (misalnya, cribl-logs-to-secops).
    • Filter: Masukkan source.match(/cribl.*/) untuk merekam log internal Cribl (log operasional dari Cribl itu sendiri).
    • Output: Pilih tujuan Google SecOps yang dibuat di bagian sebelumnya.
    • Pipeline: Pilih passthru atau buat pipeline kustom untuk pengayaan log.
  4. Klik Simpan.
  5. Commit & Deploy konfigurasi untuk menerapkan perubahan.

Mengonfigurasi pemfilteran dan pengayaan log (Opsional)

Jika Anda perlu memfilter atau memperkaya log Cribl Stream sebelum mengirimkannya ke Google SecOps:

  1. Buka Data > Pipelines di Cribl Stream.
  2. Klik Add Pipeline.
  3. Berikan detail konfigurasi berikut:
    • ID Pipeline: Masukkan nama yang bermakna (misalnya, cribl-log-processing).
    • Deskripsi: Masukkan deskripsi untuk pipeline.
  4. Tambahkan fungsi sesuai kebutuhan:
    • Evaluasi: Tambahkan kolom metadata atau ubah kolom yang ada.
    • Ekstraksi Regex: Mengekstrak informasi tertentu dari pesan log.
    • Hapus: Hapus peristiwa atau kolom yang tidak perlu.
    • Samarkan: Menyunting informasi sensitif.
  5. Klik Simpan.
  6. Perbarui rute Anda untuk menggunakan pipeline ini, bukan passthru.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.