이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Cribl Stream 로그 수집

다음에서 지원:

Google SecOps SIEM

이 문서에서는 내장 Google SecOps 대상을 사용하여 Cribl Stream 로그를 Google Security Operations에 수집하는 방법을 설명합니다. Cribl Stream은 로그, 측정항목, 이벤트 형태로 운영 데이터를 생성합니다. 이 통합을 사용하면 분석 및 모니터링을 위해 이러한 로그를 Google SecOps로 보낼 수 있습니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스입니다.
Cribl Stream 관리 콘솔 또는 클러스터에 대한 액세스 권한
Google Cloud 서비스 계정 사용자 인증 정보입니다.

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다.

Cribl Stream에서 Google SecOps 대상 구성

Cribl Stream 관리 콘솔에 로그인합니다.
데이터 > 대상으로 이동합니다.
배송지 추가를 클릭합니다.
Google Cloud > Security Operations (SecOps)를 선택합니다.
다음 구성 세부정보를 제공합니다.
- 출력 ID: 고유한 이름을 입력합니다 (예: google-secops-destination).
- 설명: 이 대상에 대한 설명을 입력합니다.
- 이벤트 전송 방식: 구조화되지 않음을 선택합니다 (표준 로그 파싱에 권장됨).
- API 버전: V2를 선택합니다.
- 기본 로그 유형: 목록에서 CRIBL_STREAM을 선택합니다.
- 선택사항: 네임스페이스: 이 소스의 로그를 식별할 네임스페이스를 입력합니다 (예: cribl-logs).
인증 섹션에서 다음을 수행합니다.
- 인증 방법: 서비스 계정 (JSON)
- 서비스 계정 키: JSON 사용자 인증 정보 파일 콘텐츠를 업로드하거나 붙여넣습니다.
처리 섹션에서 다음을 수행합니다.
- 로그 텍스트 필드: _raw를 입력합니다(선택사항). 설정하지 않으면 Cribl에서 전체 이벤트의 JSON 표현을 전송합니다. 이 필드에 실제 원시 텍스트를 저장하는 경우에만 _raw를 사용하세요.
저장을 클릭합니다.

Cribl Stream 로그를 전송하는 경로 만들기

데이터 > 경로로 이동합니다.
경로 추가를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 경로 이름: 의미 있는 이름을 입력합니다 (예: cribl-logs-to-secops).
- 필터: source.match(/cribl.*/)를 입력하여 Cribl 내부 로그(Cribl 자체의 운영 로그)를 캡처합니다.
- 출력: 이전 섹션에서 만든 Google SecOps 대상을 선택합니다.
- 파이프라인: passthru를 선택하거나 로그 보강을 위한 맞춤 파이프라인을 만듭니다.
저장을 클릭합니다.
구성을 커밋 및 배포하여 변경사항을 적용합니다.

로그 필터링 및 보강 구성 (선택사항)

Google SecOps에 보내기 전에 Cribl Stream 로그를 필터링하거나 보강해야 하는 경우 다음 단계를 따르세요.

Cribl Stream에서 Data > Pipelines로 이동합니다.
파이프라인 추가를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 파이프라인 ID: 의미 있는 이름을 입력합니다 (예: cribl-log-processing).
- 설명: 파이프라인에 대한 설명을 입력합니다.
필요에 따라 함수를 추가합니다.
- 평가: 메타데이터 필드를 추가하거나 기존 필드를 수정합니다.
- 정규식 추출: 로그 메시지에서 특정 정보를 추출합니다.
- 삭제: 불필요한 이벤트 또는 필드를 삭제합니다.
- 마스크: 민감한 정보를 수정합니다.
저장을 클릭합니다.
passthru 대신 이 파이프라인을 사용하도록 경로를 업데이트합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.