收集 Cribl Stream 日志

支持的平台:

本文档介绍了如何使用内置的 Google SecOps 目标将 Cribl Stream 日志注入到 Google Security Operations。Cribl Stream 会生成日志、指标和事件形式的运营数据。通过此集成,您可以将这些日志发送到 Google SecOps 以进行分析和监控。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例。
  • 对 Cribl Stream 管理控制台或集群的访问权限。
  • Google Cloud 服务账号凭据。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件

在 Cribl Stream 中配置 Google SecOps 目的地

  1. 登录 Cribl Stream 管理控制台
  2. 前往数据 > 目的地
  3. 点击添加目的地
  4. 依次选择 Google Cloud > Security Operations (SecOps)
  5. 提供以下配置详细信息:
    • 输出 ID:输入一个唯一名称(例如 google-secops-destination)。
    • 说明:输入相应目的地的说明。
    • 发送事件的方式:选择非结构化(建议用于标准日志解析)。
    • API 版本:选择 V2
    • 默认日志类型:从列表中选择 CRIBL_STREAM
    • 可选:命名空间:输入一个命名空间,以标识来自此来源的日志(例如 cribl-logs)。
  6. 身份验证部分中:
    • 身份验证方法:服务账号 (JSON)。
    • 服务账号密钥:上传或粘贴 JSON 凭据文件内容。
  7. 处理部分中:
    • 日志文本字段:可选择性地输入 _raw。如果未设置,Cribl 将发送整个事件的 JSON 表示形式;仅当您确实在此字段中存储原始文本时才使用 _raw
  8. 点击保存

创建用于发送 Cribl Stream 日志的路由

  1. 依次前往数据 > 路线
  2. 点击添加路线
  3. 提供以下配置详细信息:
    • 路线名称:输入一个有意义的名称(例如 cribl-logs-to-secops)。
    • 过滤条件:输入 source.match(/cribl.*/) 以捕获 Cribl 内部日志(来自 Cribl 本身的操作日志)。
    • 输出:选择在上一部分中创建的 Google SecOps 目标。
    • 流水线:选择 passthru 或创建用于日志丰富功能的自定义流水线。
  4. 点击保存
  5. 提交并部署配置以应用更改。

配置日志过滤和丰富(可选)

如果您需要在将 Cribl Stream 日志发送到 Google SecOps 之前对其进行过滤或丰富处理,请执行以下操作:

  1. 在 Cribl Stream 中,依次前往 Data > Pipelines
  2. 点击添加流水线
  3. 提供以下配置详细信息:
    • 流水线 ID:输入一个有意义的名称(例如 cribl-log-processing)。
    • 说明:输入流水线的说明。
  4. 根据需要添加函数:
    • Eval:添加元数据字段或修改现有字段。
    • 正则表达式提取:从日志消息中提取特定信息。
    • 舍弃:移除不必要的事件或字段。
    • 遮盖:隐去敏感信息。
  5. 点击保存
  6. 更新您的路由,以使用此流水线,而不是 passthru

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。