Cribl Stream ログを収集する

以下でサポートされています。

このドキュメントでは、組み込みの Google SecOps 宛先を使用して Cribl Stream ログを Google Security Operations に取り込む方法について説明します。Cribl Stream は、ログ、指標、イベントの形式で運用データを生成します。この統合により、これらのログを Google SecOps に送信して分析とモニタリングを行うことができます。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス。
  • Cribl Stream 管理コンソールまたはクラスタへのアクセス。
  • Google Cloud サービス アカウントの認証情報。

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。

Cribl Stream で Google SecOps の宛先を構成する

  1. Cribl Stream Management Console にログインします。
  2. [Data> Destinations] に移動します。
  3. [目的地を追加] をクリックします。
  4. [Google Cloud > Security Operations(SecOps)] を選択します。
  5. 次の構成の詳細を入力します。
    • 出力 ID: 一意の名前(google-secops-destination など)を入力します。
    • 説明: この宛先の説明を入力します。
    • イベントを送信する形式: [非構造化] を選択します(標準ログ解析に推奨)。
    • API version: [V2] を選択します。
    • デフォルトのログタイプ: リストから [CRIBL_STREAM] を選択します。
    • 省略可: Namespace: このソースのログを識別する Namespace を入力します(例: cribl-logs)。
  6. [認証] セクションで次の操作を行います。
    • 認証方法: サービス アカウント(JSON)。
    • サービス アカウント キー: JSON 認証情報ファイルの内容をアップロードまたは貼り付けます。
  7. [処理] セクションで次の操作を行います。
    • ログ テキスト フィールド: 必要に応じて _raw を入力します。設定しない場合、Cribl はイベント全体の JSON 表現を送信します。このフィールドに実際に未加工のテキストを保存する場合にのみ _raw を使用します。
  8. [保存] をクリックします。

Cribl Stream ログを送信するルートを作成する

  1. [Data] > [Routes] に移動します。
  2. [ルートを追加] をクリックします。
  3. 次の構成の詳細を入力します。
    • ルート名: わかりやすい名前を入力します(例: cribl-logs-to-secops)。
    • フィルタ: source.match(/cribl.*/) と入力して、Cribl の内部ログ(Cribl 自体のオペレーション ログ)をキャプチャします。
    • 出力: 前のセクションで作成した Google SecOps の宛先を選択します。
    • パイプライン: passthru を選択するか、ログ拡充用のカスタム パイプラインを作成します。
  4. [保存] をクリックします。
  5. 構成を commit してデプロイし、変更を適用します。

ログのフィルタリングと拡充を構成する(省略可)

Google SecOps に送信する前に Cribl Stream ログをフィルタリングまたは拡充する必要がある場合:

  1. Cribl Stream で [Data] > [Pipelines] に移動します。
  2. [パイプラインを追加] をクリックします。
  3. 次の構成の詳細を入力します。
    • パイプライン ID: わかりやすい名前を入力します(例: cribl-log-processing)。
    • 説明: パイプラインの説明を入力します。
  4. 必要に応じて関数を追加します。
    • Eval: メタデータ フィールドを追加するか、既存のフィールドを変更します。
    • Regex Extract: ログメッセージから特定の情報を抽出します。
    • 削除: 不要なイベントやフィールドを削除します。
    • マスク: 機密情報を秘匿化します。
  5. [保存] をクリックします。
  6. passthru の代わりにこのパイプラインを使用するようにルートを更新します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。