Raccogliere i log di WP Engine

Supportato in:

Questo documento spiega come importare i log di WP Engine in Google Security Operations utilizzando Google Cloud Storage V2.

WP Engine è una piattaforma di hosting WordPress gestita che fornisce hosting di livello enterprise con servizi CDN, ottimizzazione delle prestazioni e sicurezza integrata. Genera log di accesso, log degli errori e log degli eventi CDN che possono essere raccolti tramite l'API WP Engine.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Un progetto GCP con l'API Storage Cloud abilitata
  • Autorizzazioni per creare e gestire bucket GCS
  • Autorizzazioni per gestire le policy IAM nei bucket GCS
  • Autorizzazioni per creare servizi Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
  • Accesso privilegiato al portale utente WP Engine con autorizzazioni di accesso API
  • Un account WP Engine con accesso API abilitato

Creazione di un bucket Google Cloud Storage

  1. Vai alla console Google Cloud.
  2. Seleziona il tuo progetto o creane uno nuovo.
  3. Nel menu di navigazione, vai a Cloud Storage > Bucket.
  4. Fai clic su Crea bucket.

  5. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Assegna un nome al bucket Inserisci un nome univoco globale (ad esempio wpengine-logs).
    Tipo di località Scegli in base alle tue esigenze (regione singola, a due regioni, multiregionale)
    Località Seleziona la posizione (ad esempio, us-central1).
    Classe di archiviazione Standard (consigliato per i log a cui si accede di frequente)
    Controllo dell'accesso Uniforme (consigliato)
    Strumenti di protezione (Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

  6. Fai clic su Crea.

Raccogliere le credenziali API WP Engine

Genera credenziali API

  1. Accedi al portale utenti WP Engine.
  2. Fai clic sul nome del tuo profilo, poi vai a Profilo > Accesso API.
  3. Fai clic su Genera credenziali.

  4. Copia e salva i seguenti dettagli in una posizione sicura:

    • Nome utente API: il nome utente API generato
    • Password API: la password API generata (mostrata una sola volta)

Recupera il nome dell'installazione

  1. Accedi al portale utenti WP Engine.
  2. Vai a Siti nel menu di navigazione.
  3. Fai clic sul sito da cui vuoi raccogliere i log.
  4. Prendi nota del Nome installazione visualizzato nella pagina di panoramica del sito. Ogni ambiente (produzione, gestione temporanea, sviluppo) ha un nome di installazione separato.

Testare l'accesso API

  • Verifica le tue credenziali prima di procedere con l'integrazione:

    # Replace with your actual credentials
WPE_USER="your-api-username"
WPE_PASSWORD="your-api-password"

# Test API access - list installs
curl -v -u "${WPE_USER}:${WPE_PASSWORD}" "https://api.wpengineapi.com/v1/installs"

Crea un account di servizio per la funzione Cloud Run

La funzione Cloud Run richiede un account di servizio con autorizzazioni per scrivere nel bucket GCS e per essere richiamato da Pub/Sub.

Crea service account

  1. Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
  2. Fai clic su Crea account di servizio.
  3. Fornisci i seguenti dettagli di configurazione:
    • Nome del service account: inserisci wpengine-logs-collector-sa
    • Descrizione service account: inserisci Service account for Cloud Run function to collect WP Engine logs
  4. Fai clic su Crea e continua.
  5. Nella sezione Concedi a questo account di servizio l'accesso al progetto, aggiungi i seguenti ruoli:
    1. Fai clic su Seleziona un ruolo.
    2. Cerca e seleziona Amministratore oggetti di archiviazione.
    3. Fai clic su + Aggiungi un altro ruolo.
    4. Cerca e seleziona Cloud Run Invoker.
    5. Fai clic su + Aggiungi un altro ruolo.
    6. Cerca e seleziona Invoker di Cloud Functions.
  6. Fai clic su Continua.
  7. Fai clic su Fine.

Questi ruoli sono necessari per:

  • Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
  • Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
  • Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al account di servizio le autorizzazioni di scrittura sul bucket GCS:

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket (ad esempio wpengine-logs).
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: inserisci l'email del account di servizio (ad esempio, wpengine-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Assegna i ruoli: seleziona Storage Object Admin.
  6. Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

  1. Nella console GCP, vai a Pub/Sub > Argomenti.
  2. Fai clic su Crea argomento.
  3. Fornisci i seguenti dettagli di configurazione:
    • ID argomento: inserisci wpengine-logs-trigger
    • Lascia invariate le altre impostazioni predefinite
  4. Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run verrà attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API WP Engine e scriverli in GCS.

  1. Nella console GCP, vai a Cloud Run.
  2. Fai clic su Crea servizio.
  3. Seleziona Funzione (usa un editor in linea per creare una funzione).

  4. Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome servizio wpengine-logs-collector
    Regione Seleziona la regione corrispondente al tuo bucket GCS (ad esempio, us-central1)
    Tempo di esecuzione Seleziona Python 3.12 o versioni successive

  5. Nella sezione Trigger (facoltativo):

    1. Fai clic su + Aggiungi trigger.
    2. Seleziona Cloud Pub/Sub.
    3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento wpengine-logs-trigger.
    4. Fai clic su Salva.

  6. Nella sezione Autenticazione:

    1. Seleziona Richiedi autenticazione.
    2. Controlla Identity and Access Management (IAM).

  7. Scorri verso il basso ed espandi Container, networking, sicurezza.

  8. Vai alla scheda Sicurezza:

    • Service account: seleziona il account di servizio wpengine-logs-collector-sa.

  9. Vai alla scheda Container:

    1. Fai clic su Variabili e secret.
    2. Fai clic su + Aggiungi variabile per ogni variabile di ambiente:
    Nome variabile Valore di esempio Descrizione
    GCS_BUCKET wpengine-logs Nome del bucket GCS
    GCS_PREFIX wpengine Prefisso per i file di log
    STATE_KEY wpengine/state.json Percorso file di stato
    WPE_API_USER your-api-username Nome utente API WP Engine
    WPE_API_PASSWORD your-api-password Password API WP Engine
    WPE_INSTALL_ID myinstall Nome installazione WP Engine
    MAX_RECORDS 5000 Numero massimo di record per esecuzione
    PAGE_SIZE 100 Record per pagina
    LOOKBACK_HOURS 24 Periodo di riferimento iniziale

  10. Nella sezione Variabili e secret, scorri verso il basso fino a Richieste:

    • Timeout richiesta: inserisci 600 secondi (10 minuti)

  11. Vai alla scheda Impostazioni:

    • Nella sezione Risorse:
      • Memoria: seleziona 512 MiB o superiore
      • CPU: seleziona 1

  12. Nella sezione Scalabilità della revisione:

    • Numero minimo di istanze: inserisci 0
    • Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto)

  13. Fai clic su Crea.

  14. Attendi la creazione del servizio (1-2 minuti).

  15. Dopo aver creato il servizio, si aprirà automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

  1. Inserisci main nel campo Entry point (Punto di ingresso).

  2. Nell'editor di codice incorporato, crea due file:

    • Primo file: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import base64

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
  timeout=urllib3.Timeout(connect=5.0, read=30.0),
  retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'wpengine')
STATE_KEY = os.environ.get('STATE_KEY', 'wpengine/state.json')
WPE_API_USER = os.environ.get('WPE_API_USER')
WPE_API_PASSWORD = os.environ.get('WPE_API_PASSWORD')
WPE_INSTALL_ID = os.environ.get('WPE_INSTALL_ID')
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '5000'))
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))

# WP Engine API base URL
API_BASE = 'https://api.wpengineapi.com/v1'

# Log types to fetch
LOG_TYPES = ['access', 'error']

def get_auth_header():
  """Generate HTTP Basic auth header for WP Engine API."""
  credentials = f"{WPE_API_USER}:{WPE_API_PASSWORD}"
  encoded = base64.b64encode(credentials.encode('utf-8')).decode('utf-8')
  return f"Basic {encoded}"

@functions_framework.cloud_event
def main(cloud_event):
  """
  Cloud Run function triggered by Pub/Sub to fetch WP Engine
  logs and write to GCS.

  Args:
    cloud_event: CloudEvent object containing Pub/Sub message
  """

  if not all([GCS_BUCKET, WPE_API_USER, WPE_API_PASSWORD, WPE_INSTALL_ID]):
    print('Error: Missing required environment variables')
    return

  try:
    bucket = storage_client.bucket(GCS_BUCKET)

    # Load state
    state = load_state(bucket, STATE_KEY)

    # Determine time window
    now = datetime.now(timezone.utc)
    last_offsets = {}

    if isinstance(state, dict) and state.get("last_offsets"):
      last_offsets = state["last_offsets"]

    print(f"Fetching logs for install: {WPE_INSTALL_ID}")

    auth_header = get_auth_header()
    all_records = []

    # Fetch both access and error log types
    for log_type in LOG_TYPES:
      last_offset = last_offsets.get(log_type, 0)

      records = fetch_logs(
        auth_header=auth_header,
        install_id=WPE_INSTALL_ID,
        log_type=log_type,
        start_offset=last_offset,
        page_size=PAGE_SIZE,
        max_records=MAX_RECORDS,
      )

      # Tag records with log type
      for record in records:
        record['_wpe_log_type'] = log_type

      all_records.extend(records)

      # Update offset for this log type
      if records:
        last_offsets[log_type] = last_offset + len(records)

      print(f"Fetched {len(records)} {log_type} log records")

    if not all_records:
      print("No new log records found.")
      save_state(bucket, STATE_KEY, last_offsets)
      return

    # Write to GCS as NDJSON
    timestamp = now.strftime('%Y%m%d_%H%M%S')
    object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
    blob = bucket.blob(object_key)

    ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in all_records]) + '\n'
    blob.upload_from_string(ndjson, content_type='application/x-ndjson')

    print(f"Wrote {len(all_records)} records to gs://{GCS_BUCKET}/{object_key}")

    # Update state
    save_state(bucket, STATE_KEY, last_offsets)

    print(f"Successfully processed {len(all_records)} records")

  except Exception as e:
    print(f'Error processing logs: {str(e)}')
    raise

def load_state(bucket, key):
  """Load state from GCS."""
  try:
    blob = bucket.blob(key)
    if blob.exists():
      state_data = blob.download_as_text()
      return json.loads(state_data)
  except Exception as e:
    print(f"Warning: Could not load state: {e}")

  return {}

def save_state(bucket, key, last_offsets: dict):
  """Save the last offsets to GCS state file."""
  try:
    state = {'last_offsets': last_offsets}
    blob = bucket.blob(key)
    blob.upload_from_string(
      json.dumps(state, indent=2),
      content_type='application/json'
    )
    print(f"Saved state: last_offsets={last_offsets}")
  except Exception as e:
    print(f"Warning: Could not save state: {e}")

def fetch_logs(auth_header: str, install_id: str, log_type: str, start_offset: int, page_size: int, max_records: int):
  """
  Fetch logs from WP Engine API with offset-based pagination
  and rate limiting.

  Args:
    auth_header: HTTP Basic auth header
    install_id: WP Engine install name
    log_type: Log type to fetch (access or error)
    start_offset: Starting offset for pagination
    page_size: Number of records per page
    max_records: Maximum total records to fetch

  Returns:
    List of log records
  """
  headers = {
    'Authorization': auth_header,
    'Accept': 'application/json',
    'User-Agent': 'GoogleSecOps-WPEngineCollector/1.0'
  }

  records = []
  offset = start_offset
  page_num = 0
  backoff = 1.0

  while True:
    page_num += 1

    if len(records) >= max_records:
      print(f"Reached max_records limit ({max_records}) for {log_type}")
      break

    limit = min(page_size, max_records - len(records))
    url = f"{API_BASE}/installs/{install_id}/logs?type={log_type}&limit={limit}&offset={offset}"

    try:
      response = http.request('GET', url, headers=headers)

      # Handle rate limiting with exponential backoff
      if response.status == 429:
        retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
        print(f"Rate limited (429). Retrying after {retry_after}s...")
        time.sleep(retry_after)
        backoff = min(backoff * 2, 30.0)
        continue

      backoff = 1.0

      if response.status != 200:
        print(f"HTTP Error: {response.status}")
        response_text = response.data.decode('utf-8')
        print(f"Response body: {response_text}")
        return []

      data = json.loads(response.data.decode('utf-8'))

      page_results = data.get('results', data.get('data', []))

      if not page_results:
        print(f"No more results (empty page) for {log_type}")
        break

      print(f"Page {page_num}: Retrieved {len(page_results)} {log_type} events")
      records.extend(page_results)

      offset += len(page_results)

      # If we got fewer results than requested, no more pages
      if len(page_results) < limit:
        print(f"Last page reached for {log_type}")
        break

    except Exception as e:
      print(f"Error fetching {log_type} logs: {e}")
      return []

  print(f"Retrieved {len(records)} total {log_type} records from {page_num} pages")
  return records
    • Secondo file: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.

  4. Attendi il completamento del deployment (2-3 minuti).

Crea job Cloud Scheduler

Cloud Scheduler pubblicherà messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

  1. Nella console di GCP, vai a Cloud Scheduler.
  2. Fai clic su Crea job.

  3. Fornisci i seguenti dettagli di configurazione:

    Impostazione Valore
    Nome wpengine-logs-collector-hourly
    Regione Seleziona la stessa regione della funzione Cloud Run
    Frequenza 0 * * * * (ogni ora, all'ora)
    Fuso orario Seleziona il fuso orario (UTC consigliato)
    Tipo di target Pub/Sub
    Argomento Seleziona l'argomento wpengine-logs-trigger
    Corpo del messaggio {} (oggetto JSON vuoto)

  4. Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza Espressione cron Caso d'uso
Ogni 5 minuti */5 * * * * Volume elevato, bassa latenza
Ogni 15 minuti */15 * * * * Volume medio
Ogni ora 0 * * * * Standard (consigliato)
Ogni 6 ore 0 */6 * * * Volume basso, elaborazione batch
Ogni giorno 0 0 * * * Raccolta dei dati storici

Testare l'integrazione

  1. Nella console Cloud Scheduler, trova il job.
  2. Fai clic su Forza esecuzione per attivare il job manualmente.
  3. Attendi qualche secondo.
  4. Vai a Cloud Run > Servizi.
  5. Fai clic su wpengine-logs-collector.
  6. Fai clic sulla scheda Log.

  7. Verifica che la funzione sia stata eseguita correttamente. Cerca:

    Fetching logs for install: myinstall
Page 1: Retrieved X access events
Fetched X access log records
Page 1: Retrieved X error events
Fetched X error log records
Wrote X records to gs://wpengine-logs/wpengine/logs_YYYYMMDD_HHMMSS.ndjson
Successfully processed X records

  8. Vai a Cloud Storage > Bucket.

  9. Fai clic sul nome del bucket (wpengine-logs).

  10. Vai alla cartella wpengine/.

  11. Verifica che sia stato creato un nuovo file .ndjson con il timestamp corrente.

Se visualizzi errori nei log:

  • HTTP 401: controlla le credenziali API nelle variabili di ambiente
  • HTTP 403: verifica che l'accesso API sia abilitato nel portale utente WP Engine
  • HTTP 429: limitazione di frequenza: la funzione riproverà automaticamente con backoff
  • Variabili di ambiente mancanti: controlla che tutte le variabili richieste siano impostate

Configura un feed in Google SecOps per importare i log di WP Engine

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, WP Engine Logs).
  5. Seleziona Google Cloud Storage V2 come Tipo di origine.
  6. Seleziona WPEngine come Tipo di log.

  7. Fai clic su Ottieni service account. Verrà visualizzata un'email univoca del account di servizio, ad esempio:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia l'indirizzo email.

  9. Fai clic su Avanti.

  10. Specifica i valori per i seguenti parametri di input:

    • URL bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:

      gs://wpengine-logs/wpengine/
      • Sostituisci:
        • wpengine-logs: il nome del bucket GCS.
        • wpengine: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).

    • Opzione di eliminazione della fonte: seleziona l'opzione di eliminazione in base alle tue preferenze:

      • Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
      • Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.

      • Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.

    • Età massima del file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni)

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed

  11. Fai clic su Avanti.

  12. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Concedi le autorizzazioni IAM al account di servizio Google SecOps

Il account di servizio Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

  1. Vai a Cloud Storage > Bucket.
  2. Fai clic sul nome del bucket.
  3. Vai alla scheda Autorizzazioni.
  4. Fai clic su Concedi l'accesso.
  5. Fornisci i seguenti dettagli di configurazione:
    • Aggiungi entità: incolla l'email del account di servizio Google SecOps
    • Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
  6. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
request, sig, blog_id, kind, name, slug, ver additional.fields Unito alle etichette della richiesta (come request_label), sig (come sig_label), blog_id (come blog_id_label), kind (come kind_label), name (come name_label), slug (come slug_label), ver (come ver_label) se ciascuna non è vuota
msg metadata.description Valore copiato direttamente
metadata.event_type Impostato su "STATUS_UPDATE" se has_principal è true, altrimenti "GENERIC_EVENT"
protocollo network.application_protocol Valore copiato direttamente
versione network.application_protocol_version Convertito in stringa
metodo network.http.method Valore copiato direttamente
user_agent network.http.parsed_user_agent Convertito in parseduseragent
secure_url network.http.referral_url Valore copiato direttamente
response_code network.http.response_code Convertito in stringa e poi in numero intero
user_agent network.http.user_agent Valore copiato direttamente
received_bytes network.received_bytes Convertito in stringa e poi in uinteger
Nome host principal.asset.hostname Valore copiato direttamente
client_ip principal.asset.ip Valore copiato direttamente
Nome host principal.hostname Valore copiato direttamente
client_ip principal.ip Valore copiato direttamente
porta principal.port Convertito in stringa e poi in numero intero
pid principal.process.pid Convertito in stringa
scan_type, scan_value security_result.description Valore di scan_value se non è vuoto, altrimenti di scan_type se non è vuoto

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.