Recopila registros de NGINX
En este documento, se explica cómo transferir registros de NGINX a Google Security Operations con el agente de Bindplane.
NGINX es un servidor web y proxy inverso que genera mensajes de syslog para eventos de acceso HTTP, eventos de error, actividad de autenticación e información de procesos. El analizador extrae campos de varios formatos de registro (syslog, JSON, registros de acceso) con patrones de Grok y los asigna al modelo de datos unificado (UDM).
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Windows Server 2016 o versiones posteriores, o host de Linux con
systemd - Conectividad de red entre el agente de Bindplane y el servidor de NGINX
- Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
- Acceso de administrador al host de NGINX
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de Bindplane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el comando siguiente:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sc query observiq-otel-collectorEl servicio debería mostrarse como RUNNING.
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el comando siguiente:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sudo systemctl status observiq-otel-collectorEl servicio debería mostrarse como activo (en ejecución).
Recursos de instalación adicionales
Para obtener más opciones de instalación y solucionar problemas, consulta la guía de instalación del agente de Bindplane.
Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps
Ubica el archivo de configuración
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edita el archivo de configuración
Reemplaza todo el contenido de
config.yamlcon la siguiente configuración:receivers: udplog: listen_address: "0.0.0.0:514" exporters: chronicle/nginx: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: NGINX raw_log_field: body service: pipelines: logs/nginx_to_chronicle: receivers: - udplog exporters: - chronicle/nginx
Parámetros de configuración
Reemplaza los marcadores de posición que se indican más abajo:
Configuración del receptor:
listen_address: Dirección IP y puerto que se escucharán:0.0.0.0para escuchar en todas las interfaces (recomendado)- El puerto
514es el puerto estándar de syslog (requiere acceso raíz en Linux; usa1514para acceso no raíz).
Configuración del exportador:
creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID de cliente copiado de la consola de Google SecOpsendpoint: URL del extremo regional:- EE.UU.:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulta Extremos regionales para obtener la lista completa.
- EE.UU.:
Guarda el archivo de configuración
- Después de editarlo, guarda el archivo:
- Linux: Presiona
Ctrl+O, luegoEntery, después,Ctrl+X. - Windows: Haz clic en Archivo > Guardar
- Linux: Presiona
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart observiq-otel-collectorVerifica que el servicio esté en ejecución:
sudo systemctl status observiq-otel-collectorRevisa los registros en busca de errores:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
Símbolo del sistema o PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsola de Servicios:
- Presiona
Win+R, escribeservices.mscy presiona Intro. - Busca observIQ OpenTelemetry Collector.
- Haz clic con el botón derecho y selecciona Reiniciar.
Verifica que el servicio esté en ejecución:
sc query observiq-otel-collectorRevisa los registros en busca de errores:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Presiona
Configura NGINX para que reenvíe registros a BindPlane
Abre el archivo de configuración de NGINX (por ejemplo,
/etc/nginx/nginx.conf):sudo vi /etc/nginx/nginx.confEdita la configuración y reemplaza
<BINDPLANE_SERVER>y<BINDPLANE_PORT>por tus valores:http { access_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_access; error_log syslog:server=<BINDPLANE_SERVER>:<BINDPLANE_PORT>,facility=local7,tag=nginx_error; }Reinicia NGINX para aplicar los cambios:
sudo systemctl reload nginx
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
_Internal_WorkspaceResourceId |
target.resource.product_object_id |
Asignado directamente |
Computer |
principal.asset.hostname |
Asignado directamente |
Facility |
additional.fields[facility] |
Asignado directamente |
HostName |
principal.asset.hostname |
Se asigna directamente si src_ip no está presente. |
ProcessName |
principal.application |
Asignado directamente |
SeverityLevel |
security_result.severity |
Se asigna a INFORMATIONAL si el valor es info. |
SourceSystem |
principal.asset.platform |
Se asigna a LINUX si el valor coincide con Linux. |
SyslogMessage |
Varios campos | Se analizó con Grok para extraer time, method, target_path, protocol, response_code, referral_url, user_agent, target_ip, target_host y cache. |
TenantId |
additional.fields[TenantId] |
Asignado directamente |
acct |
principal.user.user_id |
Se asigna directamente si no está vacío o es ?. |
addr |
principal.asset.ip |
Asignado directamente |
audit_epoch |
metadata.event_timestamp |
Se convirtió a marca de tiempo con el formato UNIX. Los nanosegundos se extraen del mensaje de registro original. |
cache |
additional.fields[caché] |
Asignado directamente |
collection_time.nanos |
metadata.event_timestamp.nanos |
Se usa para los nanosegundos de la marca de tiempo del evento si están disponibles. |
collection_time.seconds |
metadata.event_timestamp.seconds |
Se usa para los segundos de la marca de tiempo del evento si está disponible. |
data |
Varios campos | Es la fuente principal de datos, que se analiza de manera diferente según el formato de registro (Syslog, JSON o algún otro). |
exe |
target.process.command_line |
Se asigna directamente después de quitar las barras inversas y las comillas. |
hostname |
principal.asset.hostname O principal.asset.ip |
Si es una dirección IP, se asigna a principal.asset.ip. De lo contrario, se asigna a principal.asset.hostname. |
msg |
metadata.description |
Se asigna directamente como la descripción. |
node |
target.asset.hostname |
Asignado directamente |
pid |
target.process.pid |
Asignado directamente |
protocol |
network.application_protocol |
Se asigna a HTTP si el valor coincide con HTTP. |
referral_url |
network.http.referral_url |
Se asigna directamente si no está vacío o es -. |
res |
security_result.action_details |
Asignado directamente |
response_code |
network.http.response_code |
Se asigna y convierte directamente en un número entero |
ses |
network.session_id |
Asignado directamente |
src_ip |
principal.asset.ip |
Asignado directamente |
target_host |
target.asset.hostname |
Asignado directamente |
target_ip |
target.asset.ip |
Se asigna directamente después de convertir la representación de cadena en un array JSON y, luego, extraer las IPs individuales. |
target_path |
target.url |
Asignado directamente |
time |
metadata.event_timestamp |
Se analizó para extraer la marca de tiempo con el formato dd/MMM/yyyy:HH:mm:ss Z |
user_agent |
network.http.user_agent |
Se asigna directamente si no está vacío o es -. |
metadata.event_type |
Se establece en GENERIC_EVENT inicialmente y, luego, se puede reemplazar en función de otros campos, como terminal y protocol. El valor predeterminado es USER_UNCATEGORIZED si el patrón de grok principal no coincide. Se establece en NETWORK_HTTP si protocol es HTTP y target_ip está presente, y en STATUS_UPDATE si protocol es HTTP, pero target_ip no está presente. |
|
metadata.log_type |
Está establecido en NGINX. |
|
metadata.product_name |
Está establecido en NGINX. |
|
metadata.vendor_name |
Está establecido en NGINX. |
|
network.ip_protocol |
Se establece en TCP si terminal es sshd o ssh, o si el patrón de grok principal no coincide |
|
principal.asset_id |
Se establece en GCP.GCE:0001 si terminal es sshd o ssh. Se establece en GCP.GCE:0002 si el patrón de grok principal no coincide. |
|
extensions.auth.type |
Se establece en MACHINE si terminal es sshd o ssh |
Registro de cambios
Consulta el registro de cambios de este analizador
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.