Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de LTM de BIG-IP de F5

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de F5 BIG-IP LTM a Google Security Operations con Bindplane.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Un host de Windows 2016 o posterior, o Linux con systemd
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso administrativo al dispositivo LTM de BIG-IP de F5 (TMSH o IU web)

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

  receivers:
    # UDP syslog listener (RFC5424 over UDP)
    udplog:
      listen_address: "0.0.0.0:514"

  exporters:
    chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: "/opt/observiq-otel-collector/ingestion-auth.json"
      # Replace with your actual customer ID from Step 2
      customer_id: "<YOUR_CUSTOMER_ID>"
      # Select the appropriate regional endpoint based on where your Google SecOps instance is provisioned
      # For regional endpoints, see: [https://cloud.google.com/chronicle/docs/reference/ingestion-api#regional_endpoints](https://cloud.google.com/chronicle/docs/reference/ingestion-api#regional_endpoints)
      endpoint: "<YOUR_REGIONAL_ENDPOINT>"
      # Set the log_type to ensure the correct parser is applied
      log_type: "F5_BIGIP_LTM"
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

  service:
    pipelines:
      logs/f5ltm:
        receivers: [udplog]
        exporters: [chronicle/chronicle_w_labels]

El parámetro listen_address se establece en 0.0.0.0:514 para aceptar syslog de cualquier fuente. Ajusta si necesitas restringir el acceso a interfaces específicas.
El puerto UDP 514 es el puerto de syslog estándar. Si el puerto 514 requiere privilegios de administrador, puedes usar un puerto superior a 1024 (por ejemplo, 5514) y ajustar la configuración de F5 según corresponda.
Para TCP en lugar de UDP, crea un receptor tcplog y configura el protocolo de registro de alta velocidad remoto de F5 en tcp.

Guarda el archivo y sal del editor.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura el reenvío de syslog de LTM de F5 BIG-IP

Opción A: Usar TMSH (interfaz de línea de comandos)

Crea un grupo para el destino de syslog
1. Conéctate al dispositivo F5 BIG-IP LTM a través de SSH.
2. Ejecuta los siguientes comandos:
```
tmsh create ltm pool f5_syslog_pool members add { <BINDPLANE_IP>:514 } monitor gateway_icmp
```
  - Reemplaza <BINDPLANE_IP> por la dirección IP del host del agente de Bindplane.

Crea un destino de registro

tmsh create sys log-config destination remote-high-speed-log f5_hsl_dest protocol udp pool-name f5_syslog_pool

tmsh create sys log-config destination remote-syslog f5_remote_syslog_dest format rfc5424 remote-high-speed-log f5_hsl_dest

Crea un publicador de registros

tmsh create sys log-config publisher f5_log_publisher destinations add { f5_remote_syslog_dest }

Crea un perfil de registro de solicitudes

tmsh create ltm profile request-log f5_ltm_request_log \
  request-log-pool f5_syslog_pool request-log-protocol mds-udp \
  request-log-template 'event_source="request_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",event_timestamp="$DATE_HTTP"' \
  request-logging enabled \
  response-log-pool f5_syslog_pool response-log-protocol mds-udp \
  response-log-template 'event_source="response_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",http_statcode="$HTTP_STATCODE",event_timestamp="$DATE_HTTP"' \
  response-logging enabled

Aplica el perfil de registro al servidor virtual
```
tmsh modify ltm virtual <VIRTUAL_SERVER_NAME> profiles add { f5_ltm_request_log }
```
- Reemplaza <VIRTUAL_SERVER_NAME> por el nombre de tu servidor virtual.
Guardar configuración
```
tmsh save sys config
```

Opción B: Usa la IU web de F5 (utilidad de configuración)

Crea un grupo para el destino de syslog
1. Accede a la interfaz web de F5 BIG-IP LTM.
2. Ve a Tráfico local > Grupos > Lista de grupos.
3. Haz clic en Crear.
4. Proporciona los siguientes detalles de configuración:
  - Nombre: Ingresa f5_syslog_pool.
  - Monitores de estado: Selecciona gateway_icmp.
5. En la sección Recursos, en Miembros nuevos, haz lo siguiente:
  - Dirección: Ingresa la dirección IP del agente de BindPlane.
  - Puerto de servicio: Ingresa 514.
6. Haz clic en Agregar.
7. Haz clic en Finalizado.
Crea un destino de registro remoto de alta velocidad
1. Ve a System > Logs > Configuration > Log Destinations.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
  - Nombre: Ingresa f5_hsl_dest.
  - Tipo: Selecciona Registro remoto de alta velocidad.
  - Protocolo: Selecciona UDP.
  - Nombre del grupo: Selecciona f5_syslog_pool.
4. Haz clic en Finalizado.
Crea un destino de syslog remoto
1. Ve a System > Logs > Configuration > Log Destinations.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
  - Nombre: Ingresa f5_remote_syslog_dest.
  - Tipo: Selecciona Syslog remoto.
  - Formato de Syslog: Selecciona RFC5424.
  - Remote High-Speed Log: Selecciona f5_hsl_dest.
4. Haz clic en Finalizado.
Crea un publicador de registros
1. Ve a System > Logs > Configuration > Log Publishers.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
  - Nombre: Ingresa f5_log_publisher.
  - Destinos: Mueve f5_remote_syslog_dest de Disponible a Seleccionado.
4. Haz clic en Finalizado.
Crea un perfil de registro de solicitudes
1. Ve a Tráfico local > Perfiles > Otros > Registro de solicitudes.
2. Haz clic en Crear.
3. Proporciona los siguientes detalles de configuración:
  - Nombre: Ingresa f5_ltm_request_log.
  - Perfil de madre o padre: Selecciona request-log.
4. En Request Settings, haz lo siguiente:
  - Registro de solicitudes: Selecciona Habilitado.
  - Protocolo de registro de solicitudes: Selecciona mds-udp.
  - Request Log Pool: Selecciona f5_syslog_pool.
  - Request Log Template: Ingresa lo siguiente:
```
event_source="request_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",event_timestamp="$DATE_HTTP"
```
5. En Configuración de respuestas, haz lo siguiente:
  - Registro de respuestas: Selecciona Habilitado.
  - Response Log Protocol: Selecciona mds-udp.
  - Response Log Pool: Selecciona f5_syslog_pool.
  - Response Log Template: Ingresa lo siguiente:
```
event_source="response_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",http_statcode="$HTTP_STATCODE",event_timestamp="$DATE_HTTP"
```
Haz clic en Finalizado.

Aplica el perfil de registro de solicitudes al servidor virtual

Ve a Tráfico local > Servidores virtuales > Lista de servidores virtuales.
Haz clic en el nombre del servidor virtual.
Ve a la pestaña Recursos.
En iRules and Profiles, haz clic en Administrar junto a Perfiles.
En Disponible, busca f5_ltm_request_log y muévelo a Seleccionado.
Haz clic en Finalizado.
Haz clic en Actualizar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`hostname`	`principal.hostname`	Nombre de host de Syslog (dispositivo que emitió el registro)
`client_ip`	`principal.ip`	Dirección IP de origen del cliente
`client_port`	`principal.port`	Puerto de origen (si se incluye en la plantilla)
`server_ip`	`target.ip`	IP de destino (miembro del grupo)
`server_port`	`target.port`	Puerto de destino (miembro del grupo)
`http_method`	`network.http.method`	Método de solicitud HTTP
`http_uri`	`network.http.url`	URI de la solicitud HTTP (incluida la ruta o la consulta, si están presentes)
`http_host`	`network.http.host`	Encabezado Host HTTP
`http_statcode`	`network.http.response_code`	Código de estado de respuesta HTTP
`user_agent`	`network.http.user_agent`	Encabezado de User-Agent
`virtual_name`	`target.application`	Nombre del servidor virtual de F5
`event_timestamp`	`metadata.event_timestamp`	Fecha y hora del evento desde el dispositivo
`event_source`	`metadata.product_event_type`	Etiqueta de tipo de evento (request_logging, response_logging)

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.