Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di HAProxy

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log HAProxy in Google Security Operations utilizzando l'agente Bindplane.

HAProxy è un bilanciatore del carico e un server proxy ad alta disponibilità che genera messaggi syslog per richieste HTTP, eventi di connessione, controlli di integrità del backend e attività di processo. Il parser utilizza la corrispondenza dei pattern Grok per estrarre i campi da vari formati di log HAProxy e li mappa al modello Unified Data Model (UDM).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e il server HAProxy
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo alla configurazione di HAProxy

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/haproxy:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: HAPROXY
        raw_log_field: body

service:
    pipelines:
        logs/haproxy_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/haproxy

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per individuare eventuali errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura syslog per HAProxy

Accedi a HAProxy utilizzando la CLI.
Aggiungi la direttiva log nella sezione global alla Configuration per inoltrare i messaggi syslog tramite UDP.
- Sostituisci <bindplane-ip> con l'indirizzo IP effettivo dell'agente Bindplane.
```
global
    log <bindplane-ip>:514 local0

defaults
    log global
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
accept_date_ms
actconn
backend_name
backend_queue
beconn
bytes_read	network.received_bytes	Estratto dal campo `bytes_read` nel log e convertito in un numero intero senza segno.
captured_request_headers
client_ip	principal.ip	Estratto dal campo `client_ip` nel log.
client_port	principal.port	Estratto dal campo `client_port` nel log e convertito in un numero intero.
command_description	metadata.description	Estratto dal campo `command_description` nel log, se disponibile. In caso contrario, viene derivato da altri campi come `action` o `status` a seconda del messaggio di log.
dataora	metadata.event_timestamp.seconds	Estratto dal campo `datetime` nel log, se disponibile. In caso contrario, viene derivato dal campo `timestamp` nella voce di log.
descrizione	metadata.description	Estratto dal campo `description` nel log, se disponibile. In caso contrario, viene derivato da altri campi come `command_description` o `action` a seconda del messaggio di log.
feconn
frontend_name
http_request	target.url	Estratto dal campo `http_request` nel log.
http_status_code	network.http.response_code	Estratto dal campo `http_status_code` nel log e convertito in un numero intero.
http_verb	network.http.method	Estratto dal campo `http_verb` nel log.
http_version	metadata.product_version	Estratto dal campo `http_version` nel log e formattato come `HTTP/{version}`.
iniziatore	target.application	Estratto dal campo `initiator` nel log.
modulo
msg	security_result.summary	Estratto dal campo `msg` nel log.
pid	target.process.pid	Estratto dal campo `pid` nel log.
di diffusione
process_name	target.application	Estratto dal campo `process_name` nel log.
ritenta
server_name	target.hostname	Estratto dal campo `server_name` nel log. Se è vuoto, il valore predefinito è `syslog_server`.
gravità	security_result.severity	Mappato dal campo `severity` nel log. `WARNING` corrisponde a `MEDIUM`, `ALERT` corrisponde a `CRITICAL` e `NOTICE` corrisponde a `INFORMATIONAL`.
shell
srv_queue
srvconn
stato
syslog_server	target.hostname, intermediary.hostname	Estratto dal campo `syslog_server` nel log. Utilizzato sia per il nome host di destinazione (se `server_name` è vuoto) sia per il nome host intermedio.
syslog_timestamp
syslog_timestamp_1
syslog_timestamp_2
syslog_timestamp_4
target_ip
time_backend_connect
time_backend_response
time_duration
time_queue
time_request
timestamp	metadata.event_timestamp.seconds	Estratto dal campo `timestamp` nel log e analizzato per le informazioni su data e ora. Utilizzato come timestamp dell'evento.
unknown_parameters1
unknown_parameters2
user_name	target.user.userid	Estratto dal campo `user_name` nel log.
	metadata.event_type	Impostato su `NETWORK_HTTP` per impostazione predefinita. Modificato in tipi di eventi specifici come `PROCESS_UNCATEGORIZED`, `STATUS_UPDATE` o `USER_UNCATEGORIZED` in base al messaggio di log e ai campi analizzati.
	metadata.vendor_name	Imposta su `HAProxy Enterprise`.
	metadata.product_name	Imposta su `HAProxy`.
	network.application_protocol	Imposta su `HTTP` se il campo `message` contiene `HTTP`.
	metadata.log_type	Imposta su `HAPROXY`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.