Diese Seite wurde von der Cloud Translation API übersetzt.

F5 BIG-IP LTM-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie F5 BIG-IP LTM-Logs mit Bindplane in Google Security Operations aufnehmen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder höher- oder Linux-Host mit systemd
Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
Administratorzugriff auf das F5 BIG-IP LTM-Gerät (TMSH oder Web-UI)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei aufrufen:
1. Suchen Sie die Datei config.yaml. Normalerweise befindet sie sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
2. Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

Bearbeiten Sie die Datei config.yamlso:

  receivers:
    # UDP syslog listener (RFC5424 over UDP)
    udplog:
      listen_address: "0.0.0.0:514"

  exporters:
    chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: "/opt/observiq-otel-collector/ingestion-auth.json"
      # Replace with your actual customer ID from Step 2
      customer_id: "<YOUR_CUSTOMER_ID>"
      # Select the appropriate regional endpoint based on where your Google SecOps instance is provisioned
      # For regional endpoints, see: [https://cloud.google.com/chronicle/docs/reference/ingestion-api#regional_endpoints](https://cloud.google.com/chronicle/docs/reference/ingestion-api#regional_endpoints)
      endpoint: "<YOUR_REGIONAL_ENDPOINT>"
      # Set the log_type to ensure the correct parser is applied
      log_type: "F5_BIGIP_LTM"
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

  service:
    pipelines:
      logs/f5ltm:
        receivers: [udplog]
        exporters: [chronicle/chronicle_w_labels]

Der listen_address ist auf 0.0.0.0:514 festgelegt, um Syslog von einer beliebigen Quelle zu akzeptieren. Passen Sie die Einstellungen an, wenn Sie die Beschränkung auf bestimmte Schnittstellen benötigen.
UDP-Port 514 ist der Standard-Syslog-Port. Wenn für Port 514 Root-Berechtigungen erforderlich sind, können Sie einen Port über 1024 (z. B. 5514) verwenden und die F5-Konfiguration entsprechend anpassen.
Wenn Sie TCP anstelle von UDP verwenden möchten, erstellen Sie einen tcplog-Empfänger und legen Sie das F5 Remote High-Speed Log-Protokoll auf tcp fest.

Speichern Sie die Datei und beenden Sie den Editor.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
```
sudo systemctl restart bindplane-agent
```
Um den Bindplane-Agent unter Windows neu zu starten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

F5 BIG-IP LTM-Syslog-Weiterleitung konfigurieren

Option A: TMSH (Befehlszeile) verwenden

Pool für Syslog-Ziel erstellen
1. Stellen Sie über SSH eine Verbindung zum F5 BIG-IP LTM-Gerät her.
2. Führen Sie folgende Befehle aus:
```
tmsh create ltm pool f5_syslog_pool members add { <BINDPLANE_IP>:514 } monitor gateway_icmp
```
  - Ersetzen Sie <BINDPLANE_IP> durch die IP-Adresse Ihres Bindplane-Agent-Hosts.

Logziel erstellen

tmsh create sys log-config destination remote-high-speed-log f5_hsl_dest protocol udp pool-name f5_syslog_pool

tmsh create sys log-config destination remote-syslog f5_remote_syslog_dest format rfc5424 remote-high-speed-log f5_hsl_dest

Log-Publisher erstellen

tmsh create sys log-config publisher f5_log_publisher destinations add { f5_remote_syslog_dest }

Profil für Anfrage-Logging erstellen

tmsh create ltm profile request-log f5_ltm_request_log \
  request-log-pool f5_syslog_pool request-log-protocol mds-udp \
  request-log-template 'event_source="request_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",event_timestamp="$DATE_HTTP"' \
  request-logging enabled \
  response-log-pool f5_syslog_pool response-log-protocol mds-udp \
  response-log-template 'event_source="response_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",http_statcode="$HTTP_STATCODE",event_timestamp="$DATE_HTTP"' \
  response-logging enabled

Logging-Profil auf virtuellen Server anwenden
```
tmsh modify ltm virtual <VIRTUAL_SERVER_NAME> profiles add { f5_ltm_request_log }
```
- Ersetzen Sie <VIRTUAL_SERVER_NAME> durch den Namen Ihres virtuellen Servers.
Konfiguration speichern
```
tmsh save sys config
```

Option B: F5-Web-UI (Konfigurationsdienstprogramm) verwenden

Pool für Syslog-Ziel erstellen
1. Melden Sie sich in der Weboberfläche von F5 BIG-IP LTM an.
2. Gehen Sie zu Lokaler Traffic > Pools > Poolliste.
3. Klicken Sie auf Erstellen.
4. Geben Sie die folgenden Konfigurationsdetails an:
  - Name: Geben Sie f5_syslog_pool ein.
  - Health Monitors (Zustandsmonitore): Wählen Sie gateway_icmp aus.
5. Im Abschnitt Ressourcen unter Neue Mitglieder:
  - Adresse: Geben Sie die IP-Adresse des BindPlane-Agents ein.
  - Service Port: Geben Sie 514 ein.
6. Klicken Sie auf Hinzufügen.
7. Klicken Sie auf Fertig.
Schnelles Remote-Logziel erstellen
1. Gehen Sie zu System> Protokolle> Konfiguration> Protokollziele.
2. Klicken Sie auf Erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
  - Name: Geben Sie f5_hsl_dest ein.
  - Typ: Wählen Sie Remote High-Speed Log aus.
  - Protokoll: Wählen Sie UDP aus.
  - Pool Name (Poolname): Wählen Sie f5_syslog_pool aus.
4. Klicken Sie auf Fertig.
Remote-Syslog-Ziel erstellen
1. Gehen Sie zu System> Protokolle> Konfiguration> Protokollziele.
2. Klicken Sie auf Erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
  - Name: Geben Sie f5_remote_syslog_dest ein.
  - Typ: Wählen Sie Remote-Syslog aus.
  - Syslog Format (Syslog-Format): Wählen Sie RFC5424 aus.
  - Remote High-Speed Log: Wählen Sie f5_hsl_dest aus.
4. Klicken Sie auf Fertig.
Log-Publisher erstellen
1. Gehen Sie zu System > Protokolle > Konfiguration > Log Publishers.
2. Klicken Sie auf Erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
  - Name: Geben Sie f5_log_publisher ein.
  - Ziele: Verschieben Sie f5_remote_syslog_dest von Verfügbar zu Ausgewählt.
4. Klicken Sie auf Fertig.
Profil für Anfrage-Logging erstellen
1. Rufen Sie Lokaler Traffic > Profile > Sonstiges > Anforderungsprotokollierung auf.
2. Klicken Sie auf Erstellen.
3. Geben Sie die folgenden Konfigurationsdetails an:
  - Name: Geben Sie f5_ltm_request_log ein.
  - Elternprofil: Wählen Sie request-log aus.
4. Unter Anfrageeinstellungen:
  - Request Logging (Anfrage-Logging): Wählen Sie Enabled (Aktiviert) aus.
  - Request Log Protocol (Protokoll für Anforderungsprotokoll): Wählen Sie mds-udp aus.
  - Request Log Pool (Pool für Anfragelog): Wählen Sie f5_syslog_pool aus.
  - Request Log Template (Vorlagen für Anforderungsprotokolle): Geben Sie Folgendes ein:
```
event_source="request_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",event_timestamp="$DATE_HTTP"
```
5. Unter Antworteinstellungen:
  - Response Logging (Antwortprotokollierung): Wählen Sie Enabled (Aktiviert) aus.
  - Response Log Protocol (Protokoll für Antwortlogs): Wählen Sie mds-udp aus.
  - Antwortprotokollpool: Wählen Sie f5_syslog_pool aus.
  - Antwortprotokollvorlage: Geben Sie Folgendes ein:
```
event_source="response_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",http_statcode="$HTTP_STATCODE",event_timestamp="$DATE_HTTP"
```
Klicken Sie auf Fertig.

Anfrage-Logging-Profil auf virtuellen Server anwenden

Gehen Sie zu Lokaler Traffic > Virtuelle Server > Virtuelle Serverliste.
Klicken Sie auf den Namen des virtuellen Servers.
Rufen Sie den Tab Ressourcen auf.
Klicken Sie unter iRules and Profiles (iRules und Profile) neben Profiles (Profile) auf Manage (Verwalten).
Suchen Sie unter Verfügbar nach f5_ltm_request_log und verschieben Sie das Element in Ausgewählt.
Klicken Sie auf Fertig.
Klicken Sie auf Aktualisieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`hostname`	`principal.hostname`	Syslog-Hostname (Gerät, von dem das Log stammt)
`client_ip`	`principal.ip`	Quell-IP-Adresse des Clients
`client_port`	`principal.port`	Quellport (falls in der Vorlage enthalten)
`server_ip`	`target.ip`	Ziel-IP-Adresse (Poolmitglied)
`server_port`	`target.port`	Zielport (Poolmitglied)
`http_method`	`network.http.method`	HTTP-Anfragemethode
`http_uri`	`network.http.url`	HTTP-Anfrage-URI (einschließlich Pfad/Abfrage, falls vorhanden)
`http_host`	`network.http.host`	HTTP-Host-Header
`http_statcode`	`network.http.response_code`	HTTP-Antwortstatuscode
`user_agent`	`network.http.user_agent`	User-Agent-Header
`virtual_name`	`target.application`	Name des virtuellen F5-Servers
`event_timestamp`	`metadata.event_timestamp`	Ereigniszeit vom Gerät
`event_source`	`metadata.product_event_type`	Tag für Ereignistyp (request_logging, response_logging)

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten