Collecter les journaux MySQL

Ce document explique comment ingérer des journaux MySQL dans Google Security Operations à l'aide de l'agent Bindplane.

MySQL est un système de gestion de bases de données relationnelles qui génère des messages syslog pour les événements d'authentification, l'exécution de requêtes, les opérations de base de données et les entrées du journal d'audit. L'analyseur extrait les champs des journaux d'audit au format syslog et les mappe au modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

• Une instance Google SecOps
• Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
• Connectivité réseau entre l'agent Bindplane et le serveur MySQL
• Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
• Accès SSH à l'hôte MySQL avec des droits root ou sudo

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion.

4. Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM> Profil.

3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. Attendez la fin de l'installation.

4. Vérifiez l'installation en exécutant la commande suivante :

   sc query observiq-otel-collector
   

   Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

1. Ouvrez un terminal avec les droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. Attendez la fin de l'installation.

4. Vérifiez l'installation en exécutant la commande suivante :

   sudo systemctl status observiq-otel-collector
   

   Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et des conseils de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

• Linux :

  sudo nano /opt/observiq-otel-collector/config.yaml
  

• Windows :

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

Modifiez le fichier de configuration

• Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

  receivers:
      udplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/mysql:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: '<customer_id>'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: MYSQL
          raw_log_field: body
  
  service:
      pipelines:
          logs/mysql_to_chronicle:
              receivers:
                  - udplog
              exporters:
                  - chronicle/mysql
  

Paramètres de configuration

Remplacez les espaces réservés suivants :

• Configuration du récepteur :

  • listen_address : adresse IP et port à écouter :
    • 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
    • Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non root).

• Configuration de l'exportateur :

  • creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
    • Linux : /etc/bindplane-agent/ingestion-auth.json
    • Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id : ID client copié depuis la console Google SecOps
  • endpoint : URL du point de terminaison régional :
    • États-Unis : malachiteingestion-pa.googleapis.com
    • Europe : europe-malachiteingestion-pa.googleapis.com
    • Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
    • Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

• Après avoir modifié le fichier, enregistrez-le :
  • Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
  • Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

  sudo systemctl restart observiq-otel-collector
  

  1. Vérifiez que le service est en cours d'exécution :

     sudo systemctl status observiq-otel-collector
     

  2. Recherchez les erreurs dans les journaux :

     sudo journalctl -u observiq-otel-collector -f
     

• Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :

  • Invite de commande ou PowerShell en tant qu'administrateur :

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • Console Services :

    1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
    2. Localisez le collecteur observIQ OpenTelemetry.
    3. Effectuez un clic droit, puis sélectionnez Redémarrer.

    4. Vérifiez que le service est en cours d'exécution :

       sc query observiq-otel-collector
       

    5. Recherchez les erreurs dans les journaux :

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

Configurer syslog dans MySQL

1. Connectez-vous à l'hôte MySQL à l'aide de SSH.

2. Connectez-vous à la base de données MySQL :

   mysql -u root -p
   

3. Vérifiez le plug-in d'audit server_audit.so :

   show variables like 'plugin_dir';
   

4. Si le plug-in est introuvable, installez-le :

   install plugin server_audit soname 'server_audit.so';
   

5. Vérifiez que le plug-in est installé et activé :

   show plugins;
   

6. Modifiez le fichier /etc/my.cnf et activez les paramètres d'audit suivants :

   server_audit_events='CONNECT,QUERY,TABLE'
   server_audit_file_path=server_audit.log
   server_audit_logging=ON
   server_audit_output_type=SYSLOG
   server_audit_syslog_facility=LOG_LOCAL6
   

7. Vérifiez les variables d'audit :

   show global variables like "server_audit%";
   

8. Vérifiez que l'audit est activé :

   Show global status like 'server_audit%';
   

9. Modifiez le fichier /etc/rsyslog.conf pour activer le transfert via UDP :

   *.* @@<bindplane-agent-ip>:<bindplane-agent-port>
   

   • Remplacez <bindplane-agent-ip> et <bindplane-agent-port> par la configuration de votre agent Bindplane.

10. Redémarrez le service MySQL :

    /etc/init.d/mysqld restart
    

Table de mappage UDM

Journal des modifications

Afficher le journal des modifications pour ce parseur

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.