Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Apache Tomcat

Supportato in:

Google secops SIEM

Questo documento spiega come acquisire i log di Apache Tomcat in Google Security Operations utilizzando l'agente Bindplane.

Apache Tomcat è un server di applicazioni web che genera log di accesso JSON per richieste HTTP, eventi di autenticazione e attività del server. Il parser estrae i campi dai log in formato JSON e syslog e li mappa al modello UDM (Unified Data Model).

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Agente Bindplane installato sul server Tomcat (per leggere i file di log locali)
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso amministrativo al server Tomcat

Recuperare il file di autenticazione dell'acquisizione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'acquisizione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Nota: questo file JSON contiene le credenziali per autenticare l'agente Bindplane in Google SecOps.

Recuperare l'ID cliente di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installare l'agente Bindplane sul server Tomcat per raccogliere i file di log

Installa l'agente Bindplane sul server Tomcat stesso, poiché deve leggere i file di log locali.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse di installazione aggiuntive

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.

Configurare l'agente Bindplane per acquisire i log di Tomcat e inviarli a Google SecOps

Individuare il file di configurazione

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modificare il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    filelog/tomcat:
        include:
            - /path/to/tomcat/logs/access-log.*.json
        start_at: beginning

exporters:
    chronicle/tomcat:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: TOMCAT
        raw_log_field: body

service:
    pipelines:
        logs/tomcat_to_chronicle:
            receivers:
                - filelog/tomcat
            exporters:
                - chronicle/tomcat

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- include: percorso dei file di log di accesso JSON di Tomcat. Modifica in modo che corrisponda alla directory dei log e al pattern dei file di Tomcat.
- start_at: imposta su beginning per leggere i log esistenti o su end per leggere solo le nuove voci.
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione dell'acquisizione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL dell'endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per l'elenco completo, consulta Endpoint regionali

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter, poi Ctrl+X
- Windows: fai clic su File > Salva

Riavviare l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifica che il servizio sia in esecuzione:
```
sudo systemctl status observiq-otel-collector
```
2. Controlla i log per verificare la presenza di errori:
```
sudo journalctl -u observiq-otel-collector -f
```
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per verificare la presenza di errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare i log di accesso JSON in Tomcat

Apri il file di configurazione di Tomcat all'indirizzo $CATALINA_BASE/conf/server.xml.

Individua il tag <Host> e aggiungi quanto segue al suo interno:

<Valve className="org.apache.catalina.valves.JsonAccessLogValve"
       directory="logs"
       prefix="access-log"
       suffix=".json"
       rotatable="true"
       maxDays="7"/>

Riavvia Tomcat per applicare le modifiche:

cd /path/to/tomcat
bin/catalina.sh stop
bin/catalina.sh start

Ogni giorno verrà visualizzato un nuovo file di log JSON (ad esempio, logs/access-log.2025-07-02.json).

Tabella di mapping UDM

Campo log	Mapping UDM	Funzione logica
`@timestamp`	`metadata.event_timestamp`	Il valore di `@timestamp` del log non elaborato viene mappato direttamente a questo campo UDM. Rappresenta l'ora in cui si è verificato l'evento.
`agent.ephemeral_id`	`additional.fields[ephemeral_id].value.string_value`	L'ID effimero dell'agente viene aggiunto come coppia chiave-valore nei campi `additional`.
`agent.hostname`	`observer.hostname`	Il nome host dell'agente viene utilizzato come nome host dell'osservatore.
`agent.id`	`observer.asset_id`	L'ID agente viene combinato con il tipo di agente per creare l'ID risorsa dell'osservatore (ad es. `filebeat: <agent_id>`).
`agent.type`	`observer.application`	Il tipo di agente viene utilizzato come applicazione dell'osservatore.
`agent.version`	`observer.platform_version`	La versione dell'agente viene utilizzata come versione della piattaforma dell'osservatore.
`host.hostname`	`principal.hostname`	Il nome host dell'host viene utilizzato come nome host principale.
`host.id`	`principal.asset.asset_id`	All'ID host viene aggiunto il prefisso `Host Id:` per creare l'ID risorsa principale.
`host.ip`	`principal.ip`, `observer.ip`	L'indirizzo IP dell'host viene utilizzato sia per l'IP principale sia per l'IP dell'osservatore. Se sono presenti più indirizzi IP, vengono uniti in un array.
`host.mac`	`principal.mac`	L'indirizzo MAC dell'host viene utilizzato come indirizzo MAC principale. Se sono presenti più indirizzi MAC, vengono uniti in un array.
`host.os.family`	`principal.platform`	Se la famiglia del sistema operativo host è `rhel` o `redhat`, la piattaforma principale è impostata su `LINUX`.
`host.os.kernel`	`principal.platform_patch_level`	La versione kernel del sistema operativo host viene utilizzata come livello di patch della piattaforma principale.
`host.os.name`	`additional.fields[os_name].value.string_value`	Il nome del sistema operativo host viene aggiunto come coppia chiave-valore nei campi `additional`.
`host.os.version`	`principal.platform_version`	La versione del sistema operativo host viene utilizzata come versione della piattaforma principale.
`log.file.path`	`principal.process.file.full_path`	Il percorso del log viene utilizzato come percorso completo del file del processo principale.
`log_level`	`security_result.severity`, `security_result.severity_details`, `security_result.action`	Il livello di log viene utilizzato per determinare la gravità, i dettagli della gravità e l'azione del risultato di sicurezza. DEBUG, INFO e AUDIT vengono mappati alla gravità INFORMATIONAL e all'azione ALLOW. ERROR viene mappato alla gravità ERROR e all'azione BLOCK. WARNING e WARN vengono mappati alla gravità MEDIUM e all'azione BLOCK. Il valore log_level non elaborato viene mappato anche a severity_details.
`logstash.irm_environment`	`additional.fields[irm_environment].value.string_value`	L'ambiente Iron Mountain di Logstash viene aggiunto come coppia chiave-valore nei campi `additional`.
`logstash.irm_region`	`additional.fields[irm_region].value.string_value`	La regione Iron Mountain di Logstash viene aggiunta come coppia chiave-valore nei campi `additional`.
`logstash.irm_site`	`additional.fields[irm_site].value.string_value`	Il sito Iron Mountain di Logstash viene aggiunto come coppia chiave-valore nei campi `additional`.
`logstash.process.host`	`intermediary.hostname`	L'host di elaborazione di Logstash viene utilizzato come nome host intermedio.
`logstash.process.timestamp`	`metadata.collected_timestamp`	Il timestamp di elaborazione di Logstash viene utilizzato come timestamp di raccolta.
`logstash.xyz_environment`	`additional.fields[xyz_environment].value.string_value`	L'ambiente xyz di Logstash viene aggiunto come coppia chiave-valore nei campi `additional`.
`logstash.xyz_region`	`additional.fields[xyz_region].value.string_value`	La regione xyz di Logstash viene aggiunta come coppia chiave-valore nei campi `additional`.
`logstash.xyz_site`	`additional.fields[xyz_site].value.string_value`	Il sito xyz di Logstash viene aggiunto come coppia chiave-valore nei campi `additional`.
`message`	`metadata.description`	Il campo message viene analizzato come JSON e il relativo campo `event_message` viene utilizzato come descrizione dei metadati. L'applicazione intermedia è codificata come `logstash`. Il tipo di evento dei metadati è codificato come `USER_UNCATEGORIZED`. Il tipo di log dei metadati è impostato su `TOMCAT` dal batch.type o batch.log_type del log non elaborato. Il nome del prodotto dei metadati è codificato come `Tomcat`. Il nome del fornitore dei metadati è codificato come `Tomcat`.
`user`	`principal.user.userid`	Il campo user del log non elaborato viene utilizzato come ID utente principale.

Log delle modifiche

Visualizza il log delle modifiche per questo parser

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.