Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de HAProxy

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de HAProxy a Google Security Operations con el agente de Bindplane.

HAProxy es un balanceador de cargas y servidor proxy de alta disponibilidad que genera mensajes de syslog para las solicitudes HTTP, los eventos de conexión, las verificaciones de estado del backend y la actividad del proceso. El analizador usa la coincidencia de patrones de Grok para extraer campos de varios formatos de registro de HAProxy y los asigna al modelo de datos unificado (UDM).

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el servidor de HAProxy
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso de administrador a la configuración de HAProxy

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debe mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml por la siguiente configuración:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/haproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: HAPROXY
        raw_log_field: body

service:
    pipelines:
        logs/haproxy_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/haproxy

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- listen_address: Dirección IP y puerto para escuchar:
  - 0.0.0.0 para escuchar en todas las interfaces (recomendado)
  - El puerto 514 es el puerto estándar de syslog (requiere acceso raíz en Linux; usa 1514 para acceso no raíz).
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente copiado de la consola de Google SecOps
- endpoint: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:
- Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
- Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica que el servicio esté en ejecución:
```
sudo systemctl status observiq-otel-collector
```
2. Revisa los registros en busca de errores:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog para HAProxy

Accede a HAProxy con la CLI.
Agrega la directiva log en la sección global a la configuración para reenviar mensajes syslog a través de UDP.
- Reemplaza <bindplane-ip> por la dirección IP real del agente de Bindplane.
```
global
    log <bindplane-ip>:514 local0

defaults
    log global
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
accept_date_ms
actconn
backend_name
backend_queue
beconn
bytes_read	network.received_bytes	Se extrae del campo `bytes_read` en el registro y se convierte en un número entero sin signo.
captured_request_headers
client_ip	principal.ip	Se extrae del campo `client_ip` en el registro.
client_port	principal.port	Se extrae del campo `client_port` en el registro y se convierte en un número entero.
command_description	metadata.description	Se extrae del campo `command_description` del registro, si está disponible. De lo contrario, se deriva de otros campos, como `action` o `status`, según el mensaje de registro.
fecha y hora	metadata.event_timestamp.seconds	Se extrae del campo `datetime` del registro, si está disponible. De lo contrario, se deriva del campo `timestamp` en la entrada de registro.
descripción	metadata.description	Se extrae del campo `description` del registro, si está disponible. De lo contrario, se deriva de otros campos, como `command_description` o `action`, según el mensaje de registro.
feconn
frontend_name
http_request	target.url	Se extrae del campo `http_request` en el registro.
http_status_code	network.http.response_code	Se extrae del campo `http_status_code` en el registro y se convierte en un número entero.
http_verb	network.http.method	Se extrae del campo `http_verb` en el registro.
http_version	metadata.product_version	Se extrae del campo `http_version` en el registro y se formatea como `HTTP/{version}`.
iniciador	target.application	Se extrae del campo `initiator` en el registro.
module
msg	security_result.summary	Se extrae del campo `msg` en el registro.
pid	target.process.pid	Se extrae del campo `pid` en el registro.
inversa
process_name	target.application	Se extrae del campo `process_name` en el registro.
retries
server_name	target.hostname	Se extrae del campo `server_name` en el registro. Si está vacío, se establece de forma predeterminada en el valor de `syslog_server`.
gravedad,	security_result.severity	Se asigna desde el campo `severity` en el registro. `WARNING` se asigna a `MEDIUM`, `ALERT` se asigna a `CRITICAL` y `NOTICE` se asigna a `INFORMATIONAL`.
shell
srv_queue
srvconn
estado
syslog_server	target.hostname, intermediary.hostname	Se extrae del campo `syslog_server` en el registro. Se usa para el nombre de host de destino (si `server_name` está vacío) y el nombre de host intermedio.
syslog_timestamp
syslog_timestamp_1
syslog_timestamp_2
syslog_timestamp_4
target_ip
time_backend_connect
time_backend_response
time_duration
time_queue
time_request
timestamp	metadata.event_timestamp.seconds	Se extrae del campo `timestamp` en el registro y se analiza para obtener información de fecha y hora. Se usa como la marca de tiempo del evento.
unknown_parameters1
unknown_parameters2
user_name	target.user.userid	Se extrae del campo `user_name` en el registro.
	metadata.event_type	Se configura de forma predeterminada en `NETWORK_HTTP`. Se cambió a tipos de eventos específicos, como `PROCESS_UNCATEGORIZED`, `STATUS_UPDATE` o `USER_UNCATEGORIZED`, según el mensaje de registro y los campos analizados.
	metadata.vendor_name	Se define en `HAProxy Enterprise`.
	metadata.product_name	Se define en `HAProxy`.
	network.application_protocol	Se establece en `HTTP` si el campo `message` contiene `HTTP`.
	metadata.log_type	Se define en `HAPROXY`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.