Mengumpulkan log Juniper Junos
Didukung di:
Google secops
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Juniper Junos menggunakan penerus Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label penyerapan JUNIPER_JUNOS.
Mengonfigurasi logging terstruktur untuk perangkat Juniper Networks SRX
Format log terstruktur mengekstrak informasi dari pesan log. Format log sesuai dengan protokol Syslog.
- Login ke Juniper SRX CLI menggunakan SSH ke alamat IP pengelolaannya.
- Ketik
CLIdi prompt shell, lalu tekan enter. - Ketik
configure, lalu tekan enter untuk masuk ke mode konfigurasi perangkat. - Masukkan detail kontak atau titik referensi pelanggan.
Untuk memetakan kolom ke akun pengguna, jalankan perintah berikut:
set system syslog host FORWARDER_IP_ADDRESS any info set system syslog host FORWARDER_IP_ADDRESS structured-dataGanti
FORWARDER_IP_ADDRESSdengan alamat IP penerus Google Security Operations.Untuk mengaktifkan logging terstruktur untuk log keamanan, gunakan perintah berikut:
set security log mode stream set security log source-address SRC_IP_ADDRESS set security log stream SYSLOG_STREAM_NAME host FORWARDER_IP_ADDRESS set security log stream SYSLOG_STREAM_NAME format sd-syslogGanti kode berikut:
SRC_IP_ADDRESS: alamat IP perangkat Juniper SRX.SYSLOG_STREAM_NAME: nama yang ditetapkan ke server syslog.FORWARDER_IP_ADDRESS: alamat IP penerusan Google Security Operations.
Pastikan logging diaktifkan di semua kebijakan keamanan. Untuk mengaktifkan logging, jalankan perintah berikut:
set security policies from-zone <zone-name1> to-zone <zone-name2> policy <policy-name> then log session-close set security policies from-zone <zone-name1> to-zone <zone-name2> policy <policy-name> then log session-initKonfigurasi nama host di perangkat menggunakan perintah berikut:
set system host-name HOSTNAMEGanti
HOSTNAMEdengan perangkat Juniper Networks SRX yang ditetapkan.Masukkan
commituntuk menyimpan perintah yang dijalankan dalam konfigurasi.
Mengonfigurasi penerusan Google Security Operations dan syslog untuk menyerap log Juniper Junos
- Pilih Setelan SIEM > Forwarder.
- Klik Tambahkan penerusan baru.
- Masukkan nama unik di kolom Nama penerusan.
- Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
- Di kolom Nama pengumpul, masukkan nama unik untuk pengumpul.
- Pilih Juniper Junos sebagai Jenis log.
- Pilih Syslog sebagai Collector type.
- Konfigurasikan parameter input berikut:
- Protocol: tentukan protokol sebagai UDP.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
- Klik Kirim.
Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis. Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak kolom dari pesan syslog Juniper JUNOS, yang menangani format key-value dan non-key-value. Agent ini menggunakan pola grok untuk mencocokkan berbagai struktur pesan, termasuk log firewall, aktivitas SSH, dan eksekusi perintah, lalu memetakan kolom yang diekstrak ke UDM. Parser juga menangani log berformat CEF menggunakan file include dan melakukan tindakan tertentu berdasarkan konten pesan, seperti menggabungkan alamat IP dan nama pengguna ke dalam kolom UDM yang sesuai.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
DPT |
target.port |
Port tujuan koneksi jaringan, dikonversi menjadi bilangan bulat. |
DST |
target.ip |
Alamat IP tujuan koneksi jaringan. |
FLAG |
additional.fields{}.key: "FLAG", additional.fields{}.value.string_value: Nilai FLAG |
Flag TCP yang terkait dengan koneksi jaringan. |
ID |
additional.fields{}.key: "ID", additional.fields{}.value.string_value: Nilai ID |
Kolom identifikasi IP. |
IN |
additional.fields{}.key: "IN", additional.fields{}.value.string_value: Nilai IN |
Antarmuka jaringan masuk. |
LEN |
additional.fields{}.key: "LEN", additional.fields{}.value.string_value: Nilai LEN |
Panjang paket IP. |
MAC |
principal.mac |
Alamat MAC yang diekstrak dari kolom MAC. |
OUT |
additional.fields{}.key: "OUT", additional.fields{}.value.string_value: Nilai OUT |
Antarmuka jaringan keluar. |
PREC |
additional.fields{}.key: "PREC", additional.fields{}.value.string_value: Nilai PREC |
Kolom Precedence di header IP. |
PROTO |
network.ip_protocol |
Protokol IP yang digunakan dalam koneksi jaringan. |
RES |
additional.fields{}.key: "RES", additional.fields{}.value.string_value: Nilai RES |
Kolom yang dicadangkan di header TCP. |
SPT |
principal.port |
Port sumber koneksi jaringan, dikonversi menjadi bilangan bulat. |
SRC |
principal.ip |
Alamat IP sumber koneksi jaringan. |
TOS |
additional.fields{}.key: "TOS", additional.fields{}.value.string_value: Nilai TOS |
Kolom Type of Service di header IP. |
TTL |
network.dns.additional.ttl |
Nilai Time To Live, dikonversi menjadi bilangan bulat yang tidak bertanda tangan. |
URGP |
additional.fields{}.key: "URGP", additional.fields{}.value.string_value: Nilai URGP |
Kolom Urgent pointer di header TCP. |
WINDOW |
additional.fields{}.key: "WINDOW_SIZE", additional.fields{}.value.string_value: Nilai WINDOW |
Ukuran jendela TCP. |
action |
security_result.action |
Tindakan yang diambil oleh firewall, diekstrak dari pesan CEF. |
agt |
observer.ip |
Alamat IP agen. |
amac |
target.mac |
Alamat MAC target, dikonversi menjadi huruf kecil dan tanda hubung diganti dengan titik dua. |
app |
target.application |
Aplikasi yang terlibat dalam peristiwa. |
artz |
observer.zone |
Zona waktu pengamat. |
atz |
target.location.country_or_region |
Zona waktu target. |
categoryBehavior |
additional.fields{}.key: "Category Behavior", additional.fields{}.value.string_value: Nilai categoryBehavior dengan garis miring dihapus |
Perilaku kategori. |
categoryDeviceGroup |
additional.fields{}.key: "Category Device Group", additional.fields{}.value.string_value: Nilai categoryDeviceGroup dengan garis miring dihapus |
Grup perangkat kategori. |
categoryObject |
additional.fields{}.key: "Objek Kategori", additional.fields{}.value.string_value: Nilai categoryObject dengan garis miring dihapus |
Objek kategori. |
categoryOutcome |
additional.fields{}.key: "Hasil Kategori", additional.fields{}.value.string_value: Nilai categoryOutcome dengan garis miring dihapus |
Hasil kategori. |
categorySignificance |
additional.fields{}.key: "Signifikansi kategori", additional.fields{}.value.string_value: Nilai categorySignificance |
Arti kategori. |
command |
target.process.command_line |
Perintah dijalankan. |
cs1Label |
additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: Nilai kolom CEF yang sesuai |
Label dan nilai kolom string kustom 1 dari pesan CEF. |
cs2Label |
additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: Nilai kolom CEF yang sesuai |
Label dan nilai kolom string kustom 2 dari pesan CEF. |
cs3Label |
additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: Nilai kolom CEF yang sesuai |
Label dan nilai kolom string kustom 3 dari pesan CEF. |
cs4Label |
additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: Nilai kolom CEF yang sesuai |
Label dan nilai kolom string kustom 4 dari pesan CEF. |
cs5Label |
additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: Nilai kolom CEF yang sesuai |
Label dan nilai kolom string kustom 5 dari pesan CEF. |
cs6Label |
additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: Nilai kolom CEF yang sesuai |
Label dan nilai kolom string kustom 6 dari pesan CEF. |
dhost |
target.hostname |
Nama host tujuan. |
deviceCustomString1 |
additional.fields{}.key: cs1Label, additional.fields{}.value.string_value: Nilai deviceCustomString1 |
String kustom perangkat 1. |
deviceCustomString2 |
additional.fields{}.key: cs2Label, additional.fields{}.value.string_value: Nilai deviceCustomString2 |
String kustom perangkat 2. |
deviceCustomString3 |
additional.fields{}.key: cs3Label, additional.fields{}.value.string_value: Nilai deviceCustomString3 |
String kustom perangkat 3. |
deviceCustomString4 |
additional.fields{}.key: cs4Label, additional.fields{}.value.string_value: Nilai deviceCustomString4 |
String kustom perangkat 4. |
deviceCustomString5 |
additional.fields{}.key: cs5Label, additional.fields{}.value.string_value: Nilai deviceCustomString5 |
String kustom perangkat 5. |
deviceCustomString6 |
additional.fields{}.key: cs6Label, additional.fields{}.value.string_value: Nilai deviceCustomString6 |
String kustom perangkat 6. |
deviceDirection |
network.direction |
Arah traffic jaringan. |
deviceEventClassId |
additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Nilai deviceEventClassId |
ID class peristiwa perangkat. |
deviceFacility |
observer.product.subproduct |
Fasilitas perangkat. |
deviceProcessName |
about.process.command_line |
Nama proses perangkat. |
deviceSeverity |
security_result.severity |
Tingkat keparahan perangkat. |
deviceTimeZone |
observer.zone |
Zona waktu perangkat. |
deviceVendor |
metadata.vendor_name |
Vendor perangkat. |
deviceVersion |
metadata.product_version |
Versi perangkat. |
dpt |
target.port |
Port tujuan. |
dst |
target.ip |
Alamat IP tujuan. |
duser |
target.user.user_display_name |
Pengguna tujuan. |
eventId |
additional.fields{}.key: "eventId", additional.fields{}.value.string_value: Nilai eventId |
ID Acara. |
event_time |
metadata.event_timestamp |
Waktu terjadinya acara, diuraikan dari pesan. |
firewall_action |
security_result.action_details |
Tindakan firewall yang dilakukan. |
host |
principal.hostname, intermediary.hostname |
Nama host perangkat yang membuat log. Digunakan untuk prinsipal dan perantara dalam kasus yang berbeda. |
msg |
security_result.summary |
Pesan yang terkait dengan peristiwa, digunakan sebagai ringkasan untuk hasil keamanan. |
name |
metadata.product_event_type |
Nama acara. |
process_name |
additional.fields{}.key: "process_name", additional.fields{}.value.string_value: Nilai process_name |
Nama proses. |
p_id |
target.process.pid |
ID proses, dikonversi menjadi string. |
sha256 |
principal.process.file.sha256 |
Hash SHA256 file, diekstrak dari informasi kunci SSH2. |
shost |
principal.hostname |
Nama host sumber. |
source_address |
principal.ip |
Alamat IP sumber. |
source_port |
principal.port |
Port sumber, dikonversi menjadi bilangan bulat. |
src |
principal.ip |
Alamat IP sumber. |
src_ip |
principal.ip |
Alamat IP sumber. |
src_port |
principal.port |
Port sumber, dikonversi menjadi bilangan bulat. |
ssh2 |
security_result.detection_fields{}.key: "ssh2", security_result.detection_fields{}.value: Nilai ssh2 |
Informasi kunci SSH2. |
subtype |
metadata.product_event_type |
Subjenis acara. |
task_summary |
security_result.description |
Ringkasan tugas, digunakan sebagai deskripsi untuk hasil keamanan. |
timestamp |
metadata.event_timestamp |
Stempel waktu acara. |
user |
target.user.userid |
Pengguna yang terkait dengan peristiwa. |
username |
principal.user.userid |
Nama pengguna yang terkait dengan peristiwa. |
user_name |
principal.user.userid |
Nama pengguna. |
metadata.vendor_name |
Dikodekan secara permanen ke "Juniper Firewall". Dikodekan secara permanen ke "Juniper Firewall". Dikodekan secara permanen ke "JUNIPER_JUNOS". Ditentukan oleh logika parser berdasarkan konten log. Jika bukan pesan CEF dan tidak ada jenis peristiwa spesifik lain yang diidentifikasi, setelan defaultnya adalah "STATUS_UPDATE". Tetapkan ke "NETWORK_HTTP" untuk pesan CEF. Jika tidak ada kolom desc, kolom ini akan diisi dengan message_description yang diekstrak dari pesan log mentah. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.