Mengumpulkan log Swimlane Platform
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Swimlane Platform ke Google Security Operations menggunakan Google Cloud Storage. Swimlane Platform adalah platform orkestrasi, otomatisasi, dan respons keamanan (SOAR) yang menyediakan kemampuan logging audit untuk melacak aktivitas pengguna, perubahan konfigurasi, dan peristiwa sistem di seluruh akun dan tenant.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Akses istimewa ke Swimlane Platform dengan izin Admin Akun untuk mengakses log audit
- URL instance Swimlane Platform dan kredensial akun
Mengumpulkan kredensial Swimlane Platform
Mendapatkan URL instance Swimlane Platform
- Login ke instance Swimlane Platform Anda.
- Catat URL instance Anda dari kolom URL browser.
- Format:
https://<region>.swimlane.app(misalnya,https://us.swimlane.appatauhttps://eu.swimlane.app) - Contoh: Jika Anda mengakses Swimlane di
https://us.swimlane.app/workspace, URL dasar Anda adalahhttps://us.swimlane.app
- Format:
Membuat Token Akses Pribadi
- Login ke Swimlane Platform sebagai Admin Akun.
- Buka Opsi Profil.
- Klik Profil untuk membuka editor profil.
- Buka bagian Personal Access Token.
- Klik Generate token untuk membuat Token Akses Pribadi baru.
- Segera salin token dan simpan dengan aman (token tidak akan ditampilkan lagi).
Mendapatkan ID Akun
Hubungi administrator Swimlane Anda jika Anda tidak mengetahui ID Akun Anda. ID Akun diperlukan untuk jalur Audit Log API.
Catat detail berikut untuk integrasi:
- Token Akses Pribadi (PAT): Digunakan di header
Private-Tokenuntuk panggilan API. - ID Akun: Diperlukan untuk jalur Audit Log API
/api/public/audit/account/{ACCOUNT_ID}/auditlogs. - URL Dasar: Domain Swimlane Anda (misalnya,
https://eu.swimlane.app,https://us.swimlane.app).
Verifikasi izin
Untuk memverifikasi bahwa akun Anda memiliki izin yang diperlukan untuk mengakses log audit:
- Login ke Swimlane Platform.
- Pastikan Anda memiliki akses Admin Akun.
Hubungi administrator Swimlane Anda jika Anda tidak dapat mengakses fitur log audit.
Menguji akses API
Sebelum melanjutkan integrasi, pastikan kredensial API Anda berfungsi dengan benar:
# Replace with your actual credentials SWIMLANE_BASE_URL="https://<region>.swimlane.app" SWIMLANE_ACCOUNT_ID="<your-account-id>" SWIMLANE_PAT_TOKEN="<your-personal-access-token>" # Test API access curl -v -X GET "${SWIMLANE_BASE_URL}/api/public/audit/account/${SWIMLANE_ACCOUNT_ID}/auditlogs?pageNumber=1&pageSize=10" \ -H "Private-Token: ${SWIMLANE_PAT_TOKEN}" \ -H "Accept: application/json"
Respons yang diharapkan: HTTP 200 dengan JSON yang berisi log audit.
Jika Anda menerima error:
- HTTP 401: Pastikan Token Akses Pribadi Anda sudah benar
- HTTP 403: Pastikan akun Anda memiliki izin Admin Akun
- HTTP 404: Pastikan ID Akun dan URL dasar sudah benar
Membuat bucket Google Cloud Storage
- Buka Google Cloud Console.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, swimlane-audit)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Lokasi Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Buat.
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
swimlane-audit-collector-sa. - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect Swimlane Platform logs.
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Selesai.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
swimlane-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com). - Tetapkan peran: Pilih Storage Object Admin.
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di GCP Console, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
swimlane-audit-trigger. - Biarkan setelan lainnya tetap default.
- ID Topik: Masukkan
- Klik Buat.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Swimlane Platform API dan menuliskannya ke GCS.
- Di GCP Console, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan swimlane-audit-collectorWilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih topik Pub/Sub (
swimlane-audit-trigger). - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih akun layanan (
swimlane-audit-collector-sa).
- Akun layanan: Pilih akun layanan (
Buka tab Containers:
- Klik Variables & Secrets.
- Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETswimlane-auditNama bucket GCS GCS_PREFIXswimlane/audit/Awalan untuk file log STATE_KEYswimlane/audit/state.jsonJalur file status SWIMLANE_BASE_URLhttps://us.swimlane.appURL dasar Swimlane Platform SWIMLANE_PAT_TOKENyour-personal-access-tokenToken Akses Pribadi Swimlane SWIMLANE_ACCOUNT_IDyour-account-idID akun Swimlane SWIMLANE_TENANT_LIST`` ID tenant yang dipisahkan koma (opsional, biarkan kosong untuk semua tenant) INCLUDE_ACCOUNTtrueSertakan log tingkat akun (benar/salah) PAGE_SIZE100Data per halaman (maks. 100) LOOKBACK_HOURS24Periode lihat balik awal TIMEOUT30Waktu tunggu permintaan API dalam hitungan detik Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit).
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi.
- CPU: Pilih 1.
- Di bagian Materi:
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan
0. - Jumlah maksimum instance: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban).
- Jumlah minimum instance: Masukkan
Klik Buat.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di Function entry point
Di editor kode inline, buat dua file:
- File pertama: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time import uuid import gzip import io # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'swimlane/audit/') STATE_KEY = os.environ.get('STATE_KEY', 'swimlane/audit/state.json') SWIMLANE_BASE_URL = os.environ.get('SWIMLANE_BASE_URL', '').rstrip('/') SWIMLANE_PAT_TOKEN = os.environ.get('SWIMLANE_PAT_TOKEN') SWIMLANE_ACCOUNT_ID = os.environ.get('SWIMLANE_ACCOUNT_ID') SWIMLANE_TENANT_LIST = os.environ.get('SWIMLANE_TENANT_LIST', '') INCLUDE_ACCOUNT = os.environ.get('INCLUDE_ACCOUNT', 'true').lower() == 'true' PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100')) LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24')) TIMEOUT = int(os.environ.get('TIMEOUT', '30')) def parse_datetime(value: str) -> datetime: """Parse ISO datetime string to datetime object.""" if value.endswith("Z"): value = value[:-1] + "+00:00" return datetime.fromisoformat(value) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Swimlane Platform logs and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID]): print('Error: Missing required environment variables (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID)') return try: # Get GCS bucket bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) # Determine time window now = datetime.now(timezone.utc) last_time = None if isinstance(state, dict) and state.get("last_event_time"): try: last_time = parse_datetime(state["last_event_time"]) # Overlap by 2 minutes to catch any delayed events last_time = last_time - timedelta(minutes=2) except Exception as e: print(f"Warning: Could not parse last_event_time: {e}") if last_time is None: last_time = now - timedelta(hours=LOOKBACK_HOURS) print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}") # Fetch logs records, newest_event_time = fetch_logs( base_url=SWIMLANE_BASE_URL, pat_token=SWIMLANE_PAT_TOKEN, account_id=SWIMLANE_ACCOUNT_ID, tenant_list=SWIMLANE_TENANT_LIST, include_account=INCLUDE_ACCOUNT, start_time=last_time, end_time=now, page_size=PAGE_SIZE, ) if not records: print("No new log records found.") save_state(bucket, STATE_KEY, now.isoformat()) return # Write to GCS as gzipped NDJSON timestamp = now.strftime('%Y%m%d_%H%M%S') object_key = f"{GCS_PREFIX}{now:%Y/%m/%d}/swimlane-audit-{uuid.uuid4()}.json.gz" buf = io.BytesIO() with gzip.GzipFile(fileobj=buf, mode='w') as gz: for record in records: gz.write((json.dumps(record, ensure_ascii=False) + '\n').encode()) buf.seek(0) blob = bucket.blob(object_key) blob.upload_from_file(buf, content_type='application/gzip') print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}") # Update state with newest event time if newest_event_time: save_state(bucket, STATE_KEY, newest_event_time) else: save_state(bucket, STATE_KEY, now.isoformat()) print(f"Successfully processed {len(records)} records") except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f"Warning: Could not load state: {e}") return {} def save_state(bucket, key, last_event_time_iso: str): """Save the last event timestamp to GCS state file.""" try: state = { 'last_event_time': last_event_time_iso, 'updated_at': datetime.now(timezone.utc).isoformat() + 'Z' } blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print(f"Saved state: last_event_time={last_event_time_iso}") except Exception as e: print(f"Warning: Could not save state: {e}") def fetch_logs(base_url: str, pat_token: str, account_id: str, tenant_list: str, include_account: bool, start_time: datetime, end_time: datetime, page_size: int): """ Fetch logs from Swimlane Platform API with pagination and rate limiting. Args: base_url: Swimlane Platform base URL pat_token: Personal Access Token account_id: Swimlane account identifier tenant_list: Comma-separated tenant IDs (optional) include_account: Include account-level logs start_time: Start time for log query end_time: End time for log query page_size: Number of records per page (max 100) Returns: Tuple of (records list, newest_event_time ISO string) """ endpoint = f"{base_url}/api/public/audit/account/{account_id}/auditlogs" headers = { 'Private-Token': pat_token, 'Accept': 'application/json', 'Content-Type': 'application/json', 'User-Agent': 'GoogleSecOps-SwimlaneCollector/1.0' } records = [] newest_time = None page_num = 1 backoff = 1.0 while True: params = [] params.append(f"pageNumber={page_num}") params.append(f"pageSize={min(page_size, 100)}") params.append(f"fromdate={start_time.isoformat()}") params.append(f"todate={end_time.isoformat()}") if tenant_list: params.append(f"tenantList={tenant_list}") params.append(f"includeAccount={'true' if include_account else 'false'}") url = f"{endpoint}?{'&'.join(params)}" try: response = http.request('GET', url, headers=headers, timeout=TIMEOUT) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue backoff = 1.0 if response.status == 401: print(f"Authentication failed (401). Verify SWIMLANE_PAT_TOKEN is correct.") return [], None if response.status == 403: print(f"Access forbidden (403). Verify account has Account Admin permissions to access audit logs.") return [], None if response.status == 400: print(f"Bad request (400). Verify account_id and query parameters are correct.") response_text = response.data.decode('utf-8') print(f"Response body: {response_text}") return [], None if response.status != 200: print(f"HTTP Error: {response.status}") response_text = response.data.decode('utf-8') print(f"Response body: {response_text}") return [], None data = json.loads(response.data.decode('utf-8')) page_results = data.get('auditlogs', []) if not page_results: print(f"No more results (empty page)") break print(f"Page {page_num}: Retrieved {len(page_results)} events") records.extend(page_results) # Track newest event time for event in page_results: try: event_time = event.get('eventTime') or event.get('EventTime') if event_time: if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time): newest_time = event_time except Exception as e: print(f"Warning: Could not parse event time: {e}") # Check for more results has_next = data.get('next') total_count = data.get('totalCount', 0) if not has_next: print(f"Reached last page (no next link)") break # Check if we've hit the 10,000 log limit if total_count > 10000 and len(records) >= 10000: print(f"Warning: Reached Swimlane API limit of 10,000 logs. Consider narrowing the time range.") break page_num += 1 except Exception as e: print(f"Error fetching logs: {e}") return [], None print(f"Retrieved {len(records)} total records from {page_num} pages") return records, newest_time- File kedua: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama swimlane-audit-schedule-15minWilayah Pilih region yang sama dengan fungsi Cloud Run Frekuensi */15 * * * *(setiap 15 menit)Zona waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih topik Pub/Sub ( swimlane-audit-trigger)Isi pesan {}(objek JSON kosong)Klik Buat.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
Frekuensi Ekspresi Cron Kasus Penggunaan Setiap 5 menit */5 * * * *Volume tinggi, latensi rendah Setiap 15 menit */15 * * * *Standar (direkomendasikan) Setiap jam 0 * * * *Volume sedang Setiap 6 jam 0 */6 * * *Volume rendah, pemrosesan batch Harian 0 0 * * *Pengumpulan data historis
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda.
- Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik nama fungsi Anda (
swimlane-audit-collector). - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari hal berikut:
Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00 Page 1: Retrieved X events Wrote X records to gs://bucket-name/swimlane/audit/YYYY/MM/DD/swimlane-audit-UUID.json.gz Successfully processed X recordsBuka Cloud Storage > Buckets.
Klik nama bucket Anda.
Buka folder awalan (
swimlane/audit/).Pastikan file
.json.gzbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa SWIMLANE_PAT_TOKEN di variabel lingkungan dan pastikan Personal Access Token sudah benar
- HTTP 403: Pastikan akun memiliki izin Admin Akun untuk mengakses log audit
- HTTP 400: Pastikan SWIMLANE_ACCOUNT_ID sudah benar dan parameter kueri valid
- HTTP 404: Pastikan SWIMLANE_BASE_URL dan jalur endpoint API sudah benar
- HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan
- Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID)
- Error koneksi: Verifikasi konektivitas jaringan ke Platform Swimlane dan aturan firewall
- Peringatan batas log 10.000: Kurangi LOOKBACK_HOURS atau tingkatkan frekuensi Cloud Scheduler agar tetap berada dalam batas API Swimlane
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Swimlane Platform logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Swimlane Platform sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda.
- Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps.
- Tetapkan peran: Pilih Storage Object Viewer.
Klik Simpan.
Mengonfigurasi feed di Google SecOps untuk menyerap log Swimlane Platform
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Swimlane Platform logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih Swimlane Platform sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://swimlane-audit/swimlane/audit/Ganti:
swimlane-audit: Nama bucket GCS Anda.swimlane/audit/: Jalur folder/awalan tempat log disimpan.
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.
Namespace aset: Namespace aset.
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.