Mengumpulkan log pfSense

Didukung di:

Dokumen ini menjelaskan cara menyerap log pfSense ke Google Security Operations menggunakan Bindplane.

pfSense adalah distribusi software firewall dan router open source yang berbasis FreeBSD. Firewall ini menyediakan pemfilteran paket stateful, VPN, pembentukan traffic, NAT, server DHCP, forwarder DNS, dan kemampuan deteksi penyusupan, yang semuanya dikelola melalui antarmuka berbasis web. Parser mengekstrak kolom dari log yang diformat syslog pfSense. Proses ini menggunakan grok untuk mengurai pesan log, lalu memetakan nilai ini ke Model Data Terpadu (UDM). Layanan ini juga menetapkan nilai metadata default untuk sumber dan jenis peristiwa.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Windows Server 2016 atau yang lebih baru, atau host Linux dengan systemd
  • Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
  • Akses istimewa ke antarmuka web pfSense

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.

  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sc query observiq-otel-collector

Layanan akan ditampilkan sebagai RUNNING.

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.

  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Tunggu hingga penginstalan selesai.

  4. Verifikasi penginstalan dengan menjalankan:

    sudo systemctl status observiq-otel-collector

Layanan akan ditampilkan sebagai aktif (berjalan).

Referensi penginstalan tambahan

Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.

Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirimkannya ke Google SecOps

Cari file konfigurasi

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edit file konfigurasi

  • Ganti seluruh konten config.yaml dengan konfigurasi berikut:

    receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'PFSENSE'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Parameter konfigurasi

  • Ganti placeholder berikut:

    • Konfigurasi penerima:

      • udplog: Gunakan udplog untuk syslog UDP atau tcplog untuk syslog TCP
      • 0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0 untuk mendengarkan semua antarmuka)
      • 514: Nomor port yang akan diproses (port syslog standar)

    • Konfigurasi eksportir:

      • creds_file_path: Jalur lengkap ke file autentikasi penyerapan:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelanggan
      • endpoint: URL endpoint regional:
        • Amerika Serikat: malachiteingestion-pa.googleapis.com
        • Eropa: europe-malachiteingestion-pa.googleapis.com
        • Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
      • log_type: Jenis log persis seperti yang muncul di Chronicle (PFSENSE)

Simpan file konfigurasi

  • Setelah mengedit, simpan file:
    • Linux: Tekan Ctrl+O, lalu Enter, lalu Ctrl+X
    • Windows: Klik File > Save

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart observiq-otel-collector

    1. Pastikan layanan sedang berjalan:

        sudo systemctl status observiq-otel-collector

    2. Periksa log untuk mengetahui error:

        sudo journalctl -u observiq-otel-collector -f

  • Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:

    • Command Prompt atau PowerShell sebagai administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Konsol layanan:

      1. Tekan Win+R, ketik services.msc, lalu tekan Enter.
      2. Temukan observIQ OpenTelemetry Collector.

      3. Klik kanan, lalu pilih Mulai Ulang.

      4. Pastikan layanan sedang berjalan:

        sc query observiq-otel-collector

      5. Periksa log untuk mengetahui error:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Mengonfigurasi penerusan Syslog di pfSense

pfSense berjalan di FreeBSD dan menyediakan antarmuka berbasis web untuk semua tugas konfigurasi, termasuk penerusan syslog jarak jauh.

  1. Login ke antarmuka web pfSense.
  2. Buka Status > Log Sistem > Setelan.
  3. Buka bagian Remote Logging Options.
  4. Pilih Aktifkan Logging Jarak Jauh.
  5. Berikan detail konfigurasi berikut:
    • Alamat Sumber: Pilih Semua (atau antarmuka tertentu).
    • IP Protocol: Pilih IPv4.
    • Server log jarak jauh: Masukkan BINDPLANE_IP:514 di kolom pertama yang tersedia. Ganti BINDPLANE_IP dengan alamat IP host agen Bindplane.
  6. Di bagian Remote Syslog Contents, pilih kategori log yang akan diteruskan:
    • Peristiwa Sistem
    • Peristiwa Firewall
    • Peristiwa DNS (Resolver/unbound, Forwarder/dnsmasq)
    • Peristiwa DHCP (layanan DHCP)
    • Acara PPP
    • Peristiwa Autentikasi (Autentikasi Portal, RADIUS)
    • Peristiwa VPN (IPsec, OpenVPN, L2TP)
    • Peristiwa Gateway (Monitor gateway)
    • Peristiwa Pemilihan Rute (Daemon pemilihan rute)
    • Acara NTP
    • Paket (paket terinstal)
  7. Klik Simpan.
  8. Pastikan pesan syslog dikirim dengan memeriksa log agen Bindplane.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
application principal.application Nilai diekstrak dari pesan log menggunakan pola grok. Untuk pesan syslog, nama aplikasi biasanya ditemukan setelah nama host dan stempel waktu.
perintah principal.process.command_line Diekstrak dari kolom deskripsi saat log menunjukkan eksekusi perintah.
deskripsi metadata.description Kolom deskripsi dipetakan ke deskripsi metadata UDM, kecuali untuk log aplikasi syslog-ng yang dipetakan ke metadata.description. Untuk peristiwa DHCP, dhcp_type ditambahkan ke deskripsi.
dhcp_type metadata.product_event_type Jenis pesan DHCP (misalnya, DHCPDISCOVER, DHCPOFFER) diekstrak dan dipetakan.
host intermediary.hostname OR intermediary.ip Jika nilai host adalah alamat IP yang valid, nilai tersebut dipetakan ke intermediary.ip. Jika tidak, nilai ini dipetakan ke intermediary.hostname.
host principal.hostname, principal.asset.hostname Jika tidak ada IP utama, host akan diperlakukan sebagai nama host utama.
mac principal.mac, network.dhcp.chaddr Alamat MAC yang terkait dengan permintaan DHCP diekstrak dan dipetakan.
src_ip principal.ip, principal.asset.ip Diekstrak dari format log tertentu menggunakan pola grok.
src_mac principal.mac Diekstrak dari format log tertentu menggunakan pola grok.
dst_mac target.mac Diekstrak dari format log tertentu menggunakan pola grok.
timestamp metadata.event_timestamp Stempel waktu diekstrak dari pesan log dan dikonversi ke format stempel waktu UDM. Informasi zona waktu (tz) ditambahkan ke stempel waktu sebelum konversi jika tersedia.
timestamp_no_year metadata.event_timestamp Jika ada stempel waktu tanpa tahun, stempel waktu tersebut akan diuraikan, dan tahun saat ini akan ditambahkan selama proses penguraian.
pengguna principal.user.userid Nama pengguna yang terkait dengan peristiwa diekstrak dan dipetakan.
kolom1 security_result.rule_id Dipetakan dari kolom CSV pertama jika deskripsi dalam format CSV.
column6 security_result.rule_type Dipetakan dari kolom CSV keenam jika deskripsi dalam format CSV.
column7 security_result.action Dipetakan dari kolom CSV ketujuh jika deskripsi dalam format CSV. Dikonversi menjadi "BLOCK" atau "ALLOW".
column8 network.direction Dipetakan dari kolom CSV kedelapan jika deskripsi dalam format CSV. Dikonversi menjadi "INBOUND" atau "OUTBOUND".
column13 network.ip_protocol (jika UDP atau ICMP) Dipetakan dari kolom CSV ketiga belas jika deskripsi dalam format CSV dan protokolnya adalah UDP atau ICMP. Untuk peristiwa TCP/UDP, ID ini digunakan untuk membuat kolom tambahan dengan kunci "Id".
column16 principal.ip, principal.asset.ip (jika IPv6 dan column9 adalah 6) Dipetakan dari kolom CSV keenam belas jika deskripsi dalam format CSV dan kolom9 adalah 6. Untuk peristiwa TCP/UDP, kolom ini digunakan untuk identifikasi protokol jika column9 adalah 4.
column17 target.ip, target.asset.ip (jika IPv6 dan bukan ip_failure) Dipetakan dari kolom CSV ketujuh belas jika deskripsinya dalam format CSV, column9 adalah 6, dan nilainya adalah IP yang valid. Untuk peristiwa TCP/UDP, kolom ini digunakan untuk identifikasi protokol.
column18 principal.port (jika UDP) Dipetakan dari kolom CSV kedelapan belas jika deskripsi dalam format CSV dan protokolnya adalah UDP. Untuk peristiwa TCP/UDP, peristiwa ini dipetakan ke network.received_bytes.
column19 target.port (jika UDP) Dipetakan dari kolom CSV kesembilan belas jika deskripsi dalam format CSV dan protokolnya adalah UDP. Untuk peristiwa DHCP, kolom ini dipetakan ke network.dhcp.yiaddr. Untuk peristiwa lainnya, alamat IP dipetakan ke principal.ip, principal.asset.ip.
column20 additional.fields (kunci: "data_length") (jika UDP) Dipetakan dari kolom CSV kedua puluh jika deskripsi dalam format CSV dan protokolnya adalah UDP. Untuk peristiwa lainnya, peristiwa ini dipetakan ke target.ip, target.asset.ip.
column21 principal.port (jika TCP/UDP) Dipetakan dari kolom CSV kedua puluh satu jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP.
column22 target.port (jika TCP/UDP) Dipetakan dari kolom CSV kedua puluh dua jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP.
column23 additional.fields (kunci: "data_length") (jika TCP/UDP) Dipetakan dari kolom CSV kedua puluh tiga jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP.
column24 additional.fields (kunci: "tcp_flags") (jika TCP) Dipetakan dari kolom CSV kedua puluh empat jika deskripsi dalam format CSV dan protokolnya adalah TCP.
column25 additional.fields (key: "sequence_number") (jika TCP/UDP) Dipetakan dari kolom CSV ke-25 jika deskripsi dalam format CSV dan protokolnya adalah TCP atau UDP.
column29 additional.fields (key: "tcp_options") (jika TCP) Dipetakan dari kolom CSV ke-29 jika deskripsi dalam format CSV dan protokolnya adalah TCP.
compression_algo additional.fields (kunci: "Compression Algorithm") Diekstrak dari kolom deskripsi dan ditambahkan sebagai kolom tambahan.
menurun metadata.description Diekstrak dari kolom pesan dan digunakan sebagai deskripsi.
principal_ip principal.ip, principal.asset.ip Diekstrak dari kolom deskripsi dan merepresentasikan alamat IP utama.
principal_username principal.user.userid Diekstrak dari kolom deskripsi dan merepresentasikan nama pengguna utama.
status security_result.detection_fields (kunci: "status") Diekstrak dari kolom deskripsi dan ditambahkan sebagai kolom deteksi dalam hasil keamanan.
target_host target.hostname, target.asset.hostname Diekstrak dari kolom deskripsi dan merepresentasikan nama host target.
src_port principal.port Diekstrak dari kolom deskripsi dan merepresentasikan port sumber. Ditentukan berdasarkan berbagai kolom log dan logika parser. Dapat berupa NETWORK_CONNECTION, NETWORK_DHCP, STATUS_UPDATE, atau GENERIC_EVENT. Dikodekan secara permanen ke "PFSENSE". Dikodekan secara permanen ke "PFSENSE". Dikodekan secara permanen ke "PFSENSE". Setel ke "DHCP" untuk peristiwa DHCP. Disetel ke "BOOTREQUEST" untuk DHCPDISCOVER dan DHCPREQUEST, serta "BOOTREPLY" untuk DHCPOFFER dan DHCPACK. Setel ke "DISCOVER", "REQUEST", "OFFER", atau "ACK" berdasarkan kolom dhcp_type.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.