Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengumpulkan log F5 AFM

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log F5 Advanced Firewall Management (AFM) ke Google Security Operations menggunakan agen Bindplane.

F5 BIG-IP AFM adalah modul firewall jaringan yang menghasilkan pesan syslog untuk tindakan aturan firewall (terima, hapus, tolak), peristiwa IP Intelligence, dan error TCP. Parser mengekstrak kolom dari log berformat CSV atau syslog dan memetakannya ke Model Data Terpadu (UDM).

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
Konektivitas jaringan antara agen Bindplane dan perangkat F5 BIG-IP
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke F5 BIG-IP dan F5 Advanced Firewall Management

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat agen BindPlane akan diinstal.

Catatan: File JSON ini berisi kredensial untuk mengautentikasi agen Bindplane ke Google SecOps.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Catatan: ID pelanggan diperlukan untuk mengonfigurasi pengekspor agen Bindplane.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sc query observiq-otel-collector
```
Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Tunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
```
sudo systemctl status observiq-otel-collector
```
Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

Ganti seluruh konten config.yaml dengan konfigurasi berikut:

receivers:
    tcplog:
        listen_address: "0.0.0.0:5145"

exporters:
    chronicle/f5_afm:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: F5_AFM
        raw_log_field: body

service:
    pipelines:
        logs/f5_afm_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/f5_afm

Parameter konfigurasi

Ganti placeholder berikut:

Konfigurasi penerima:
- listen_address: Alamat IP dan port yang akan diproses:
  - 0.0.0.0 untuk mendengarkan di semua antarmuka (direkomendasikan)
  - Port 5145 digunakan untuk logging kecepatan tinggi F5 AFM (sesuaikan agar sesuai dengan konfigurasi F5 Anda)
Konfigurasi eksportir:
- creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID Pelanggan yang disalin dari konsol Google SecOps
- endpoint: URL endpoint regional:
  - Amerika Serikat: malachiteingestion-pa.googleapis.com
  - Eropa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya

Simpan file konfigurasi

Setelah mengedit, simpan file:
- Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
- Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

sudo systemctl restart observiq-otel-collector

Pastikan layanan sedang berjalan:

sudo systemctl status observiq-otel-collector

Periksa log untuk mengetahui error:

sudo journalctl -u observiq-otel-collector -f

Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
- Command Prompt atau PowerShell sebagai administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Konsol layanan:
  1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
  2. Temukan observIQ OpenTelemetry Collector.
  3. Klik kanan, lalu pilih Mulai Ulang.
  4. Pastikan layanan sedang berjalan:
```
sc query observiq-otel-collector
```
  5. Periksa log untuk mengetahui error:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Mengaktifkan F5 BIG-IP Advanced Firewall Manager

Login ke konsol pengelolaan perangkat BIG-IP.
Buka Sistem > Lisensi.
Pastikan Advanced Firewall Manager telah diberi lisensi dan diaktifkan.
Untuk mengaktifkan Advanced Firewall Manager, buka System > Resource > Provisioning.
Centang kotak di kolom Penyediaan, lalu pilih Nominal dari daftar.
Klik Kirim.

Mengonfigurasi Kumpulan Logging di F5 AFM

Buka Local Traffic > Pools.
Klik Create.
Berikan detail konfigurasi berikut:
- Name: Masukkan nama untuk pool logging (misalnya, logging_pool).
- Health Monitor: Dalam daftar Available, pilih TCP, lalu klik <<.
Di tab Resource, pilih Logging Pool yang Anda buat sebelumnya dari daftar Node Name.
Di kolom Address, masukkan alamat IP agen Bindplane.
Di kolom Service Port, masukkan 5145 atau port lain seperti yang Anda tentukan di agen Bindplane.
Klik Tambahkan.
Klik Selesai.

Mengonfigurasi tujuan log yang diformat di F5 AFM

Buka System > Logs > Configuration > Log Destinations.
Klik Create.
Berikan detail konfigurasi berikut:
- Name: Masukkan nama untuk tujuan format logging (misalnya, Logging_Format_Destination).
- Deskripsi: Masukkan deskripsi.
- Type: Pilih Remote Syslog.
- Syslog Format: Pilih Syslog.
- Tujuan Log Kecepatan Tinggi: Pilih tujuan logging kecepatan tinggi Anda (misalnya, Logging_HSL_Destination).
Klik Selesai.

Mengonfigurasi Log Publisher di F5 AFM

Buka Sistem > Log > Konfigurasi > Penerbit Log.
Klik Create.
Berikan detail konfigurasi berikut:
- Nama: Masukkan nama untuk penayang (misalnya, Log_Publisher).
- Deskripsi: Masukkan deskripsi.
- Tujuan: Pilih nama tujuan log yang Anda buat di langkah Konfigurasi Kumpulan Logging di F5 AFM, lalu klik << untuk menambahkan item ke daftar Terpilih.

Mengonfigurasi Profil Logging di F5 AFM

Buka Keamanan > Log Peristiwa > Profil Pencatatan Log.
Klik Create.
Berikan detail konfigurasi berikut:
- Name: Masukkan nama untuk profil log (misalnya, Logging_Profile).
- Network Firewall: Centang kotak Enabled.
- Publisher: Pilih penerbit log yang Anda konfigurasi sebelumnya (misalnya, Log_Publisher).
- Pencocokan Aturan Log: Centang kotak Terima, Hapus, dan Tolak.
- Log IP Errors: Centang kotak Enabled.
- Log TCP Errors: Centang kotak Enabled.
- Log TCP Events: Centang kotak Enabled.
- Format Penyimpanan: Pilih Daftar Kolom.
- Pembatas: Masukkan , (koma) sebagai pembatas untuk peristiwa.
- Opsi Penyimpanan: Pilih semua opsi dalam daftar Item yang Tersedia, lalu klik <<.
- Di tab IP Intelligence, pilih penerbit log yang Anda konfigurasi (misalnya, Log_Publisher).
Klik Selesai.

Mengonfigurasi Asosiasi Profil Server Virtual di F5 AFM

Buka Local Traffic > Virtual Servers.
Pilih server virtual yang akan diubah.
Buka tab Keamanan > Kebijakan.
Dari daftar Log Profile, pilih Enabled.
Dari kolom Profile, pilih Logging_Profile, lalu klik <<.
Klik Update.

Tabel pemetaan UDM

Kolom log	Pemetaan UDM	Logika
acl_policy_name	security_result.detection_fields.acl_policy_name	Nilai column22 jika format log adalah SYSLOG, atau nilai column13
acl_policy_type	security_result.detection_fields.acl_policy_type	Nilai column21 jika format log adalah SYSLOG, atau nilai column18
acl_rule_name	security_result.rule_name	Nilai column23 jika format log adalah SYSLOG, atau nilai column11
acl_rule_uuid	security_result.rule_id	Nilai kolom acl_rule_uuid dari pola grok
tindakan	security_result.action	Jika nilai column25 adalah `Drop`, `Reject`, atau `Block`, maka BLOKIR, jika nilai column25 adalah `Accept`, `Accept decisively`, `Established`, atau `Allow`, maka PERBOLEHKAN
attackID	security_result.detection_fields.attackID	Nilai column12 jika format log adalah CSV tanpa src_ip
bigip_hostname	intermediary.hostname	Nilai column2 jika format log adalah SYSLOG, atau nilai column3
bigip_ip	intermediary.ip	Nilai column2 jika format log adalah SYSLOG, atau nilai column1
context_name	additional.fields.context_name.string_value	Nilai column4 jika format log adalah SYSLOG, atau nilai column10 jika ada src_ip, atau nilai column5
context_type	additional.fields.context_type.string_value	Nilai column3 jika format log adalah SYSLOG, atau nilai column4 jika ada src_ip, atau nilai column4
dest_fqdn	additional.fields.dest_fqdn.string_value	Nilai column7 jika format log adalah SYSLOG, atau nilai column13
dest_geo	additional.fields.dest_geo.string_value	Nilai kolom14
dest_ip	target.asset.ip, target.ip	Nilai column8 jika format log adalah SYSLOG, atau nilai column6 jika ada src_ip, atau nilai column6
dest_port	target.port	Nilai column10 jika format log adalah SYSLOG, atau nilai column8 jika ada src_ip, atau nilai column8
drop_reason	security_result.summary	Nilai column26 jika format log adalah SYSLOG, atau nilai column19
eventId	additional.fields.eventId.string_value	Nilai yang diambil dalam pola grok
flow_id	additional.fields.flow_id.string_value	Nilai column29 jika format log adalah SYSLOG, atau nilai column17
loglevel	security_result.severity	Jika nilai kolom loglevel dari pola grok adalah `warning`,`debug`, atau `notice`, maka MEDIUM, jika nilai adalah `info` atau `informational`, maka INFORMATIONAL, jika nilai adalah `err` atau `error`, maka HIGH, jika nilai adalah `alert`, `crit`, atau `emer`, maka CRITICAL
packetsReceived	network.received_packets	Nilai column15 jika format log adalah CSV tanpa src_ip
mundur	target.application	Nilai kolom proses dari pola grok
protocol_number_src	network.ip_protocol	Nilai column12 jika format log adalah SYSLOG, atau nilai yang diekstrak dari variabel ip_protocol_out
route_domain	additional.fields.route_domain.string_value	Nilai column13 jika format log adalah SYSLOG, atau nilai column9
source_fqdn	additional.fields.source_fqdn.string_value	Nilai column5 jika format log adalah SYSLOG, atau nilai column7
src_geo	additional.fields.src_geo.string_value	Nilai kolom8
src_ip	principal.asset.ip, principal.ip	Nilai column6 jika format log adalah SYSLOG, atau nilai column9 jika format log adalah CSV tanpa src_ip, atau nilai column5
src_port	principal.port	Nilai column9 jika format log adalah SYSLOG, atau nilai column7 jika format log adalah CSV tanpa src_ip, atau nilai column7
ts	metadata.event_timestamp	Nilai kolom ts dari pola grok
VLAN	additional.fields.vlan.string_value	Nilai column11 jika format log adalah SYSLOG, atau nilai column21
	metadata.event_type	Jika src_ip dan dest_ip ada, maka NETWORK_CONNECTION, jika hanya src_ip yang ada, maka STATUS_UPDATE, jika tidak ada, maka GENERIC_EVENT
	metadata.log_type	F5_AFM
	metadata.product_name	Pengelolaan Firewall Lanjutan
	metadata.vendor_name	F5

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.