HAProxy ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して HAProxy ログを Google Security Operations に取り込む方法について説明します。
HAProxy は、HTTP リクエスト、接続イベント、バックエンド ヘルスチェック、プロセス アクティビティの syslog メッセージを生成する高可用性ロードバランサとプロキシ サーバーです。パーサーは Grok パターン マッチングを使用して、さまざまな HAProxy ログ形式からフィールドを抽出し、Unified Data Model(UDM)にマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと HAProxy サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- HAProxy 構成に対する管理者権限
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [active (running)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/haproxy: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: HAPROXY raw_log_field: body service: pipelines: logs/haproxy_to_chronicle: receivers: - udplog exporters: - chronicle/haproxy
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux で root が必要。root 以外の場合は1514を使用)
- すべてのインターフェースでリッスンする
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
HAProxy の syslog を構成する
- CLI を使用して HAProxy にログインします。
構成の global セクションに log ディレクティブを追加して、UDP 経由で syslog メッセージを転送します。
<bindplane-ip>は、実際の Bindplane エージェントの IP アドレスに置き換えます。
global log <bindplane-ip>:514 local0 defaults log global
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| accept_date_ms | ||
| actconn | ||
| backend_name | ||
| backend_queue | ||
| beconn | ||
| bytes_read | network.received_bytes | ログの bytes_read フィールドから抽出され、符号なし整数に変換されます。 |
| captured_request_headers | ||
| client_ip | principal.ip | ログの client_ip フィールドから抽出されます。 |
| client_port | principal.port | ログの client_port フィールドから抽出され、整数に変換されます。 |
| command_description | metadata.description | ログの command_description フィールドから抽出されます(利用可能な場合)。それ以外の場合は、ログメッセージに応じて action や status などの他のフィールドから派生します。 |
| datetime | metadata.event_timestamp.seconds | ログの datetime フィールドから抽出されます(利用可能な場合)。それ以外の場合は、ログエントリの timestamp フィールドから派生します。 |
| 説明 | metadata.description | ログの description フィールドから抽出されます(利用可能な場合)。それ以外の場合は、ログメッセージに応じて command_description や action などの他のフィールドから派生します。 |
| feconn | ||
| frontend_name | ||
| http_request | target.url | ログの http_request フィールドから抽出されます。 |
| http_status_code | network.http.response_code | ログの http_status_code フィールドから抽出され、整数に変換されます。 |
| http_verb | network.http.method | ログの http_verb フィールドから抽出されます。 |
| http_version | metadata.product_version | ログの http_version フィールドから抽出され、HTTP/{version} 形式でフォーマットされます。 |
| イニシエータ | target.application | ログの initiator フィールドから抽出されます。 |
| モジュール | ||
| msg | security_result.summary | ログの msg フィールドから抽出されます。 |
| pid | target.process.pid | ログの pid フィールドから抽出されます。 |
| プロセス | ||
| process_name | target.application | ログの process_name フィールドから抽出されます。 |
| retries | ||
| server_name | target.hostname | ログの server_name フィールドから抽出されます。空の場合、デフォルトで syslog_server の値になります。 |
| 重要度 | security_result.severity | ログの severity フィールドからマッピングされます。WARNING は MEDIUM に、ALERT は CRITICAL に、NOTICE は INFORMATIONAL にマッピングされます。 |
| シェル | ||
| srv_queue | ||
| srvconn | ||
| ステータス | ||
| syslog_server | target.hostname、intermediary.hostname | ログの syslog_server フィールドから抽出されます。ターゲット ホスト名(server_name が空の場合)と仲介ホスト名の両方で使用されます。 |
| syslog_timestamp | ||
| syslog_timestamp_1 | ||
| syslog_timestamp_2 | ||
| syslog_timestamp_4 | ||
| target_ip | ||
| time_backend_connect | ||
| time_backend_response | ||
| time_duration | ||
| time_queue | ||
| time_request | ||
| timestamp | metadata.event_timestamp.seconds | ログの timestamp フィールドから抽出され、日付と時刻の情報が解析されます。イベントのタイムスタンプとして使用されます。 |
| unknown_parameters1 | ||
| unknown_parameters2 | ||
| user_name | target.user.userid | ログの user_name フィールドから抽出されます。 |
| metadata.event_type | デフォルトでは NETWORK_HTTP に設定されています。ログ メッセージと解析されたフィールドに基づいて、PROCESS_UNCATEGORIZED、STATUS_UPDATE、USER_UNCATEGORIZED などの特定のイベントタイプに変更されました。 |
|
| metadata.vendor_name | HAProxy Enterprise に設定します。 |
|
| metadata.product_name | HAProxy に設定します。 |
|
| network.application_protocol | message フィールドに HTTP が含まれている場合、HTTP に設定します。 |
|
| metadata.log_type | HAPROXY に設定します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。