Collecter les journaux WP Engine

Ce document explique comment ingérer des journaux WP Engine dans Google Security Operations à l'aide de Google Cloud Storage V2.

WP Engine est une plate-forme d'hébergement WordPress gérée qui fournit un hébergement de niveau entreprise avec des services de sécurité, d'optimisation des performances et de CDN intégrés. Il génère des journaux d'accès, des journaux d'erreurs et des journaux d'événements CDN qui peuvent être collectés via l'API WP Engine.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Un projet GCP avec l'API Cloud Storage activée
• Autorisations pour créer et gérer des buckets GCS
• Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
• Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
• Accès privilégié au portail utilisateur WP Engine avec des autorisations d'accès à l'API
• Un compte WP Engine avec l'accès à l'API activé

Créer un bucket Google Cloud Storage

1. Accédez à Google Cloud Console.
2. Sélectionnez votre projet ou créez-en un.
3. Dans le menu de navigation, accédez à Cloud Storage> Buckets.
4. Cliquez sur Créer un bucket.

5. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nommer votre bucket	Saisissez un nom unique (par exemple, wpengine-logs).
   Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
   Emplacement	Sélectionnez l'emplacement (par exemple, us-central1).
   Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
   Access control (Contrôle des accès)	Uniforme (recommandé)
   Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

6. Cliquez sur Créer.

Collecter les identifiants de l'API WP Engine

Générer des identifiants d'API

1. Connectez-vous au portail utilisateur WP Engine.
2. Cliquez sur votre nom de profil, puis accédez à Profil > Accès à l'API.
3. Cliquez sur Générer des identifiants.

4. Copiez et enregistrez les informations suivantes dans un emplacement sécurisé :

   • Nom d'utilisateur de l'API : nom d'utilisateur de l'API généré
   • Mot de passe de l'API : mot de passe de l'API généré (affiché une seule fois)

Obtenir le nom de l'installation

1. Connectez-vous au portail utilisateur WP Engine.
2. Accédez à Sites dans le menu de navigation.
3. Cliquez sur le site dont vous souhaitez collecter les journaux.
4. Notez le nom d'installation affiché sur la page de présentation du site. Chaque environnement (production, préproduction, développement) possède un nom d'installation distinct.

Tester l'accès à l'API

• Testez vos identifiants avant de procéder à l'intégration :

  # Replace with your actual credentials
  WPE_USER="your-api-username"
  WPE_PASSWORD="your-api-password"
  
  # Test API access - list installs
  curl -v -u "${WPE_USER}:${WPE_PASSWORD}" "https://api.wpengineapi.com/v1/installs"
  

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
2. Cliquez sur Créer un compte de service.
3. Fournissez les informations de configuration suivantes :
   • Nom du compte de service : saisissez wpengine-logs-collector-sa.
   • Description du compte de service : saisissez Service account for Cloud Run function to collect WP Engine logs.
4. Cliquez sur Créer et continuer.
5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
   1. Cliquez sur Sélectionner un rôle.
   2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
   3. Cliquez sur + Ajouter un autre rôle.
   4. Recherchez et sélectionnez Demandeur Cloud Run.
   5. Cliquez sur + Ajouter un autre rôle.
   6. Recherchez et sélectionnez Demandeur Cloud Functions.
6. Cliquez sur Continuer.
7. Cliquez sur OK.

Ces rôles sont requis pour :

• Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
• Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
• Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom de votre bucket (par exemple, wpengine-logs).
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, wpengine-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
   • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

1. Dans la console GCP, accédez à Pub/Sub > Sujets.
2. Cliquez sur Créer un sujet.
3. Fournissez les informations de configuration suivantes :
   • ID du sujet : saisissez wpengine-logs-trigger.
   • Conservez les valeurs par défaut des autres paramètres.
4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour extraire les journaux de l'API WP Engine et les écrire dans GCS.

1. Dans la console GCP, accédez à Cloud Run.
2. Cliquez sur Créer un service.
3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

4. Dans la section Configurer, fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom du service	wpengine-logs-collector
   Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
   Durée d'exécution	Sélectionnez Python 3.12 ou version ultérieure.

5. Dans la section Déclencheur (facultatif) :

   1. Cliquez sur + Ajouter un déclencheur.
   2. Sélectionnez Cloud Pub/Sub.
   3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet wpengine-logs-trigger.
   4. Cliquez sur Enregistrer.

6. Dans la section Authentification :

   1. Sélectionnez Exiger l'authentification.
   2. Consultez Identity and Access Management (IAM).

7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

8. Accédez à l'onglet Sécurité :

   • Compte de service : sélectionnez le compte de service wpengine-logs-collector-sa.

9. Accédez à l'onglet Conteneurs :

   1. Cliquez sur Variables et secrets.
   2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

   Nom de la variable	Exemple de valeur	Description
   GCS_BUCKET	wpengine-logs	Nom du bucket GCS
   GCS_PREFIX	wpengine	Préfixe des fichiers journaux
   STATE_KEY	wpengine/state.json	Chemin d'accès au fichier d'état
   WPE_API_USER	your-api-username	Nom d'utilisateur de l'API WP Engine
   WPE_API_PASSWORD	your-api-password	Mot de passe de l'API WP Engine
   WPE_INSTALL_ID	myinstall	Nom d'installation WP Engine
   MAX_RECORDS	5000	Nombre maximal d'enregistrements par exécution
   PAGE_SIZE	100	Enregistrements par page
   LOOKBACK_HOURS	24	Période d'analyse initiale

10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).

13. Cliquez sur Créer.

14. Attendez que le service soit créé (1 à 2 minutes).

15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

1. Saisissez main dans le champ Point d'entrée.

2. Dans l'éditeur de code intégré, créez deux fichiers :

   • Premier fichier : main.py:

   import functions_framework
   from google.cloud import storage
   import json
   import os
   import urllib3
   from datetime import datetime, timezone, timedelta
   import time
   import base64
   
   # Initialize HTTP client with timeouts
   http = urllib3.PoolManager(
     timeout=urllib3.Timeout(connect=5.0, read=30.0),
     retries=False,
   )
   
   # Initialize Storage client
   storage_client = storage.Client()
   
   # Environment variables
   GCS_BUCKET = os.environ.get('GCS_BUCKET')
   GCS_PREFIX = os.environ.get('GCS_PREFIX', 'wpengine')
   STATE_KEY = os.environ.get('STATE_KEY', 'wpengine/state.json')
   WPE_API_USER = os.environ.get('WPE_API_USER')
   WPE_API_PASSWORD = os.environ.get('WPE_API_PASSWORD')
   WPE_INSTALL_ID = os.environ.get('WPE_INSTALL_ID')
   MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
   PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
   LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
   
   # WP Engine API base URL
   API_BASE = 'https://api.wpengineapi.com/v1'
   
   # Log types to fetch
   LOG_TYPES = ['access', 'error']
   
   def get_auth_header():
     """Generate HTTP Basic auth header for WP Engine API."""
     credentials = f"{WPE_API_USER}:{WPE_API_PASSWORD}"
     encoded = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')
     return f"Basic {encoded}"
   
   @functions_framework.cloud_event
   def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch WP Engine
     logs and write to GCS.
   
     Args:
       cloud_event: CloudEvent object containing Pub/Sub message
     """
   
     if not all([GCS_BUCKET, WPE_API_USER, WPE_API_PASSWORD, WPE_INSTALL_ID]):
       print('Error: Missing required environment variables')
       return
   
     try:
       bucket = storage_client.bucket(GCS_BUCKET)
   
       # Load state
       state = load_state(bucket, STATE_KEY)
   
       # Determine time window
       now = datetime.now(timezone.utc)
       last_offsets = {}
   
       if isinstance(state, dict) and state.get("last_offsets"):
         last_offsets = state["last_offsets"]
   
       print(f"Fetching logs for install: {WPE_INSTALL_ID}")
   
       auth_header = get_auth_header()
       all_records = []
   
       # Fetch both access and error log types
       for log_type in LOG_TYPES:
         last_offset = last_offsets.get(log_type, 0)
   
         records = fetch_logs(
           auth_header=auth_header,
           install_id=WPE_INSTALL_ID,
           log_type=log_type,
           start_offset=last_offset,
           page_size=PAGE_SIZE,
           max_records=MAX_RECORDS,
         )
   
         # Tag records with log type
         for record in records:
           record['_wpe_log_type'] = log_type
   
         all_records.extend(records)
   
         # Update offset for this log type
         if records:
           last_offsets[log_type] = last_offset + len(records)
   
         print(f"Fetched {len(records)} {log_type} log records")
   
       if not all_records:
         print("No new log records found.")
         save_state(bucket, STATE_KEY, last_offsets)
         return
   
       # Write to GCS as NDJSON
       timestamp = now.strftime('%Y%m%d_%H%M%S')
       object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
       blob = bucket.blob(object_key)
   
       ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
       blob.upload_from_string(ndjson, content_type='application/x-ndjson')
   
       print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")
   
       # Update state
       save_state(bucket, STATE_KEY, last_offsets)
   
       print(f"Successfully processed {len(all_records)} records")
   
     except Exception as e:
       print(f'Error processing logs: {str(e)}')
       raise
   
   def load_state(bucket, key):
     """Load state from GCS."""
     try:
       blob = bucket.blob(key)
       if blob.exists():
         state_data = blob.download_as_text()
         return json.loads(state_data)
     except Exception as e:
       print(f"Warning: Could not load state: {e}")
   
     return {}
   
   def save_state(bucket, key, last_offsets: dict):
     """Save the last offsets to GCS state file."""
     try:
       state = {'last_offsets': last_offsets}
       blob = bucket.blob(key)
       blob.upload_from_string(
         json.dumps(state, indent=2),
         content_type='application/json'
       )
       print(f"Saved state: last_offsets={last_offsets}")
     except Exception as e:
       print(f"Warning: Could not save state: {e}")
   
   def fetch_logs(auth_header: str, install_id: str, log_type: str, start_offset: int, page_size: int, max_records: int):
     """
     Fetch logs from WP Engine API with offset-based pagination
     and rate limiting.
   
     Args:
       auth_header: HTTP Basic auth header
       install_id: WP Engine install name
       log_type: Log type to fetch (access or error)
       start_offset: Starting offset for pagination
       page_size: Number of records per page
       max_records: Maximum total records to fetch
   
     Returns:
       List of log records
     """
     headers = {
       'Authorization': auth_header,
       'Accept': 'application/json',
       'User-Agent': 'GoogleSecOps-WPEngineCollector/1.0'
     }
   
     records = []
     offset = start_offset
     page_num = 0
     backoff = 1.0
   
     while True:
       page_num += 1
   
       if len(records) >= max_records:
         print(f"Reached max_records limit ({max_records}) for {log_type}")
         break
   
       limit = min(page_size, max_records - len(records))
       url = f"{API_BASE}/installs/{install_id}/logs?type={log_type}&limit={limit}&offset={offset}"
   
       try:
         response = http.request('GET', url, headers=headers)
   
         # Handle rate limiting with exponential backoff
         if response.status == 429:
           retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
           print(f"Rate limited (429). Retrying after {retry_after}s...")
           time.sleep(retry_after)
           backoff = min(backoff * 2, 30.0)
           continue
   
         backoff = 1.0
   
         if response.status != 200:
           print(f"HTTP Error: {response.status}")
           response_text = response.data.decode('utf-8')
           print(f"Response body: {response_text}")
           return []
   
         data = json.loads(response.data.decode('utf-8'))
   
         page_results = data.get('results', data.get('data', []))
   
         if not page_results:
           print(f"No more results (empty page) for {log_type}")
           break
   
         print(f"Page {page_num}: Retrieved {len(page_results)} {log_type} events")
         records.extend(page_results)
   
         offset += len(page_results)
   
         # If we got fewer results than requested, no more pages
         if len(page_results) < limit:
           print(f"Last page reached for {log_type}")
           break
   
       except Exception as e:
         print(f"Error fetching {log_type} logs: {e}")
         return []
   
     print(f"Retrieved {len(records)} total {log_type} records from {page_num} pages")
     return records
   

   • Deuxième fichier : requirements.txt:

   functions-framework==3.*
   google-cloud-storage==2.*
   urllib3>=2.0.0
   

3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publiera des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenchera la fonction Cloud Run.

1. Dans la console GCP, accédez à Cloud Scheduler.
2. Cliquez sur Créer une tâche.

3. Fournissez les informations de configuration suivantes :

   Paramètre	Valeur
   Nom	wpengine-logs-collector-hourly
   Région	Sélectionnez la même région que la fonction Cloud Run.
   Fréquence	0 * * * * (toutes les heures)
   Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
   Type de cible	Pub/Sub
   Sujet	Sélectionnez le thème wpengine-logs-trigger.
   Corps du message	{} (objet JSON vide)

4. Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	*/5 * * * *	Volume élevé, faible latence
Toutes les 15 minutes	*/15 * * * *	Volume moyen
Toutes les heures	0 * * * *	Standard (recommandé)
Toutes les 6 heures	0 */6 * * *	Traitement par lot à faible volume
Tous les jours	0 0 * * *	Collecte de données historiques

Tester l'intégration

1. Dans la console Cloud Scheduler, recherchez votre job.
2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
3. Patientez quelques secondes.
4. Accédez à Cloud Run > Services.
5. Cliquez sur wpengine-logs-collector.
6. Cliquez sur l'onglet Journaux.

7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

   Fetching logs for install: myinstall
   Page 1: Retrieved X access events
   Fetched X access log records
   Page 1: Retrieved X error events
   Fetched X error log records
   Wrote X records to gs://wpengine-logs/wpengine/logs_YYYYMMDD_HHMMSS.ndjson
   Successfully processed X records
   

8. Accédez à Cloud Storage > Buckets.

9. Cliquez sur le nom de votre bucket (wpengine-logs).

10. Accédez au dossier wpengine/.

11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

• HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
• HTTP 403 : vérifiez que l'accès à l'API est activé dans le portail utilisateur WP Engine.
• HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
• Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Configurer un flux dans Google SecOps pour ingérer les journaux WP Engine

1. Accédez à Paramètres SIEM> Flux.
2. Cliquez sur Add New Feed (Ajouter un flux).
3. Cliquez sur Configurer un flux unique.
4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, WP Engine Logs).
5. Sélectionnez Google Cloud Storage V2 comme Type de source.
6. Sélectionnez WPEngine comme type de journal.

7. Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

   chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
   

8. Copiez cette adresse e-mail.

9. Cliquez sur Suivant.

10. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://wpengine-logs/wpengine/
      

      • Remplacez :
        • wpengine-logs : nom de votre bucket GCS.
        • wpengine : préfixe/chemin d'accès au dossier facultatif où les journaux sont stockés (laisser vide pour la racine).

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).

    • Espace de noms de l'élément : espace de noms de l'élément

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux

11. Cliquez sur Suivant.

12. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

1. Accédez à Cloud Storage > Buckets.
2. Cliquez sur le nom du bucket.
3. Accédez à l'onglet Autorisations.
4. Cliquez sur Accorder l'accès.
5. Fournissez les informations de configuration suivantes :
   • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
   • Attribuer des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
6. Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
request, sig, blog_id, kind, name, slug, ver	additional.fields	Fusionné avec les libellés de la requête (en tant que request_label), sig (en tant que sig_label), blog_id (en tant que blog_id_label), kind (en tant que kind_label), name (en tant que name_label), slug (en tant que slug_label), ver (en tant que ver_label) si chacun n'est pas vide
Message	metadata.description	Valeur copiée directement
	metadata.event_type	Défini sur "STATUS_UPDATE" si has_principal est défini sur "true", sinon sur "GENERIC_EVENT"
protocol	network.application_protocol	Valeur copiée directement
version	network.application_protocol_version	Converti en chaîne
method	network.http.method	Valeur copiée directement
user_agent	network.http.parsed_user_agent	Converti en parseduseragent
secure_url	network.http.referral_url	Valeur copiée directement
response_code	network.http.response_code	Converti en chaîne, puis en entier
user_agent	network.http.user_agent	Valeur copiée directement
received_bytes	network.received_bytes	Converti en chaîne, puis en uinteger
Nom d'hôte	principal.asset.hostname	Valeur copiée directement
client_ip	principal.asset.ip	Valeur copiée directement
Nom d'hôte	principal.hostname	Valeur copiée directement
client_ip	principal.ip	Valeur copiée directement
port	principal.port	Converti en chaîne, puis en entier
pid	principal.process.pid	Converti en chaîne
scan_type, scan_value	security_result.description	Valeur de scan_value si elle n'est pas vide, sinon valeur de scan_type si elle n'est pas vide

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.