Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log F5 BIG-IP LTM

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menyerap log F5 BIG-IP LTM ke Google Security Operations menggunakan Bindplane.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses administratif ke perangkat F5 BIG-IP LTM (TMSH atau UI web)

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

  receivers:
    # UDP syslog listener (RFC5424 over UDP)
    udplog:
      listen_address: "0.0.0.0:514"

  exporters:
    chronicle/chronicle_w_labels:
      compression: gzip
      # Adjust the path to the credentials file you downloaded in Step 1
      creds_file_path: "/opt/observiq-otel-collector/ingestion-auth.json"
      # Replace with your actual customer ID from Step 2
      customer_id: "<YOUR_CUSTOMER_ID>"
      # Select the appropriate regional endpoint based on where your Google SecOps instance is provisioned
      # For regional endpoints, see: [https://cloud.google.com/chronicle/docs/reference/ingestion-api#regional_endpoints](https://cloud.google.com/chronicle/docs/reference/ingestion-api#regional_endpoints)
      endpoint: "<YOUR_REGIONAL_ENDPOINT>"
      # Set the log_type to ensure the correct parser is applied
      log_type: "F5_BIGIP_LTM"
      raw_log_field: body
      # You can optionally add other custom ingestion labels here if needed
      ingestion_labels:

  service:
    pipelines:
      logs/f5ltm:
        receivers: [udplog]
        exporters: [chronicle/chronicle_w_labels]

listen_address disetel ke 0.0.0.0:514 untuk menerima syslog dari sumber mana pun. Sesuaikan jika Anda perlu membatasi ke antarmuka tertentu.
Port UDP 514 adalah port syslog standar. Jika port 514 memerlukan hak istimewa root, Anda dapat menggunakan port di atas 1024 (misalnya, 5514) dan menyesuaikan konfigurasi F5 dengan tepat.
Untuk TCP, bukan UDP, buat penerima tcplog dan tetapkan protokol F5 Remote High-Speed Log ke tcp.

Simpan file dan keluar dari editor.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan syslog F5 BIG-IP LTM

Opsi A: Menggunakan TMSH (Antarmuka Command Line)

Buat kumpulan untuk tujuan syslog
1. Hubungkan ke perangkat F5 BIG-IP LTM melalui SSH.
2. Jalankan perintah berikut:
```
tmsh create ltm pool f5_syslog_pool members add { <BINDPLANE_IP>:514 } monitor gateway_icmp
```
  - Ganti <BINDPLANE_IP> dengan alamat IP host agen Bindplane Anda.

Membuat tujuan log

tmsh create sys log-config destination remote-high-speed-log f5_hsl_dest protocol udp pool-name f5_syslog_pool

tmsh create sys log-config destination remote-syslog f5_remote_syslog_dest format rfc5424 remote-high-speed-log f5_hsl_dest

Membuat penerbit log

tmsh create sys log-config publisher f5_log_publisher destinations add { f5_remote_syslog_dest }

Membuat profil logging permintaan

tmsh create ltm profile request-log f5_ltm_request_log \
  request-log-pool f5_syslog_pool request-log-protocol mds-udp \
  request-log-template 'event_source="request_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",event_timestamp="$DATE_HTTP"' \
  request-logging enabled \
  response-log-pool f5_syslog_pool response-log-protocol mds-udp \
  response-log-template 'event_source="response_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",http_statcode="$HTTP_STATCODE",event_timestamp="$DATE_HTTP"' \
  response-logging enabled

Menerapkan profil logging ke server virtual
```
tmsh modify ltm virtual <VIRTUAL_SERVER_NAME> profiles add { f5_ltm_request_log }
```
- Ganti <VIRTUAL_SERVER_NAME> dengan nama server virtual Anda.
Simpan konfigurasi
```
tmsh save sys config
```

Opsi B: Menggunakan UI Web F5 (Utilitas Konfigurasi)

Buat kumpulan untuk tujuan syslog
1. Login ke antarmuka web F5 BIG-IP LTM.
2. Buka Local Traffic > Pools > Pool List.
3. Klik Buat.
4. Berikan detail konfigurasi berikut:
  - Nama: Masukkan f5_syslog_pool.
  - Health Monitors: Pilih gateway_icmp.
5. Di bagian Sumber, di bagian Anggota Baru:
  - Alamat: Masukkan alamat IP Bindplane Agent.
  - Service Port: Masukkan 514.
6. Klik Tambahkan.
7. Klik Selesai.
Membuat tujuan log berkecepatan tinggi jarak jauh
1. Buka System > Logs > Configuration > Log Destinations.
2. Klik Buat.
3. Berikan detail konfigurasi berikut:
  - Nama: Masukkan f5_hsl_dest.
  - Jenis: Pilih Log Kecepatan Tinggi Jarak Jauh.
  - Protocol: Pilih UDP.
  - Nama Pool: Pilih f5_syslog_pool.
4. Klik Selesai.
Membuat tujuan syslog jarak jauh
1. Buka System > Logs > Configuration > Log Destinations.
2. Klik Buat.
3. Berikan detail konfigurasi berikut:
  - Nama: Masukkan f5_remote_syslog_dest.
  - Type: Pilih Remote Syslog.
  - Syslog Format: Pilih RFC5424.
  - Remote High-Speed Log: Pilih f5_hsl_dest.
4. Klik Selesai.
Membuat penerbit log
1. Buka Sistem > Log > Konfigurasi > Penerbit Log.
2. Klik Buat.
3. Berikan detail konfigurasi berikut:
  - Nama: Masukkan f5_log_publisher.
  - Tujuan: Pindahkan f5_remote_syslog_dest dari Tersedia ke Dipilih.
4. Klik Selesai.
Membuat profil logging permintaan
1. Buka Local Traffic > Profiles > Other > Request Logging.
2. Klik Buat.
3. Berikan detail konfigurasi berikut:
  - Nama: Masukkan f5_ltm_request_log.
  - Profil Orang Tua: Pilih request-log.
4. Di bagian Setelan Permintaan:
  - Logging Permintaan: Pilih Diaktifkan.
  - Request Log Protocol: Pilih mds-udp.
  - Kumpulan Log Permintaan: Pilih f5_syslog_pool.
  - Template Log Permintaan: Masukkan hal berikut:
```
event_source="request_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",event_timestamp="$DATE_HTTP"
```
5. Di bagian Setelan Respons:
  - Pencatatan Log Respons: Pilih Diaktifkan.
  - Response Log Protocol: Pilih mds-udp.
  - Kumpulan Log Respons: Pilih f5_syslog_pool.
  - Template Log Respons: Masukkan hal berikut:
```
event_source="response_logging",hostname="$BIGIP_HOSTNAME",client_ip="$CLIENT_IP",server_ip="$SERVER_IP",http_method="$HTTP_METHOD",http_uri="$HTTP_URI",http_host="${host}",virtual_name="$VIRTUAL_NAME",http_statcode="$HTTP_STATCODE",event_timestamp="$DATE_HTTP"
```
Klik Selesai.

Menerapkan profil logging permintaan ke server virtual

Buka Local Traffic > Virtual Servers > Virtual Server List.
Klik nama server virtual.
Buka tab Referensi.
Di bagian iRules and Profiles, klik Manage di samping Profiles.
Di bagian Tersedia, cari f5_ltm_request_log dan pindahkan ke Dipilih.
Klik Selesai.
Klik Perbarui.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`hostname`	`principal.hostname`	Nama host syslog (perangkat yang memancarkan log)
`client_ip`	`principal.ip`	Alamat IP sumber klien
`client_port`	`principal.port`	Port sumber (jika disertakan dalam template)
`server_ip`	`target.ip`	IP tujuan (anggota kumpulan)
`server_port`	`target.port`	Port tujuan (anggota kumpulan)
`http_method`	`network.http.method`	Metode permintaan HTTP
`http_uri`	`network.http.url`	URI permintaan HTTP (termasuk jalur/kueri jika ada)
`http_host`	`network.http.host`	Header Host HTTP
`http_statcode`	`network.http.response_code`	Kode status respons HTTP
`user_agent`	`network.http.user_agent`	Header Agen Pengguna
`virtual_name`	`target.application`	Nama server virtual F5
`event_timestamp`	`metadata.event_timestamp`	Waktu peristiwa dari perangkat
`event_source`	`metadata.product_event_type`	Tag jenis peristiwa (request_logging, response_logging)

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.