Nutzerhandbuch zur Chronicle CLI
Als Alternative zur grafischen Benutzeroberfläche von Chronicle können fortgeschrittene Nutzer die Chronicle-Befehlszeile chronicle_cli verwenden, um Workflows in Chronicle zu initiieren.
Sie können die Chronicle-Befehlszeile für diese Workflows verwenden:
Chronicle CLI-Befehle verwenden die folgende Syntax (COMMAND und ARGUMENT sind erforderlich, aber OPTIONS ist optional):
$ chronicle_cli COMMAND ARGUMENT [OPTIONS]
Um beispielsweise mit den Workflows zur Feedverwaltung einen neuen Feed zu erstellen, verwenden Sie den folgenden Befehl:
$ chronicle_cli feeds create
Installation
In diesem Abschnitt erfahren Sie, wie Sie die Chronicle CLI installieren.
Hinweis
Führen Sie vor der Installation der Chronicle-Befehlszeile folgende Schritte aus:
- Python 3 sollte in Ihrer Umgebung installiert sein. Weitere Informationen finden Sie unter Python installieren.
- Erstellen Sie eine virtuelle Umgebung und aktivieren Sie sie. Weitere Informationen finden Sie unter Virtuelle Umgebung einrichten und aktivieren.
- Erstellen Sie in Ihrem Basisverzeichnis ein verstecktes Verzeichnis mit dem Namen
.chronicle_cliund platzieren Sie darin Ihre Dienstkonto-Anmeldedaten mit dem Namenchronicle_credentials.json.
Chronicle-CLI in der Umgebung installieren
So installieren Sie die Chronicle-Befehlszeile in Ihrer Umgebung:
Öffnen Sie ein Terminal und installieren Sie mit dem folgenden Befehl alle erforderlichen abhängigen Pakete in Ihrer virtuellen Umgebung:
$ (env) pip install -r requirements.txtInstallieren Sie das Chronicle-Binärprogramm mit dem folgenden Befehl in Ihrer virtuellen Umgebung:
$ (env) python3 -m pip install --editable .Prüfen Sie mit dem folgenden Befehl, ob die Installation erfolgreich war:
$ chronicle_cli --help
Beispielausgabe:
Usage: chronicle_cli [OPTIONS] COMMAND [ARGS]...
Chronicle CLI is a CLI tool for managing Chronicle user workflows for e.g.
Feed Management workflows.
Options:
-h, --help Show this message and exit.
Commands:
feeds Feed Management Workflows
Workflows zur Feedverwaltung
Sie können die Chronicle-CLI verwenden, um Datenfeeds für Ihre Chronicle-Instanz zu erstellen und zu verwalten.
Befehle
Befehl feeds
Der Befehl feeds verwendet diese Argumente:
createupdategetlistdeleteenabledisable
Nutzungssyntax:
$ chronicle_cli feeds ARGUMENT [OPTIONS]
Argumente
Argument „create“
Erstellt einen neuen Feed.
Verwendungsbeispiel
$ chronicle_cli feeds create --help
Usage: chronicle_cli feeds create [OPTIONS]
Create a feed
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
- Für Windows-Plattform
====================================
========== Set Properties ==========
====================================
List of Source types:
1. Amazon S3
2. Amazon SQS
3. Google Cloud Storage
4. HTTP(S) URI
5. Microsoft Azure Blob Storage
6. SFTP
7. Third party API
[Source type] Enter your choice: 7
You have selected Third party API
List of Log types:
(i) How to select log type?
- Press ENTER key (scrolls one line at a time) or SPACEBAR key (display next screen).
- Note down the choice number for the log type that you want to select.
- Press 'q' to quit and enter that choice number.
=============================================================================
1. Anomali
2. Azure AD
3. Azure AD Directory Audit
4. Azure AD Organizational Context
5. Cloud Passage
6. Duo Auth
7. Duo User Context
8. Fox-IT
9. Imperva
10. Microsoft Graph API Alerts:
[Log type] Enter your choice: 7
You have selected Duo User Context
Enter feed display name: my_duo_user_context_feed
======================================
=========== Input Parameters =========
======================================
(*) - Required fields.
Password/secret inputs are hidden.
(*) Username (Username to authenticate as)
=> USERNAME
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com")
=> api-xxxxxxxx.duosecurity.com
Feed created successfully with Feed ID: 9cfce415-97df-413b-8e38-e7c747f9ed38
- Für andere Plattformen wie Linux/Ubuntu/CentOS/MacOS
====================================
========== Set Properties ==========
====================================
List of Source types:
1. Amazon S3
2. Amazon SQS
3. Google Cloud Storage
4. HTTP(S) URI
5. Microsoft Azure Blob Storage
6. SFTP
7. Third party API
[Source type] Enter your choice: 7
You have selected Third party API
List of Log types:
(i) How to select log type?
- Press Up/b or Down/z keys to paginate.
- To switch case-sensitivity, press '-i' and press enter. By default, search
is case-sensitive.
- To search for specific log type, press '/' key, enter text and press enter.
- Note down the choice number for the log type that you want to select.
- Press 'q' to quit and enter that choice number.
- Press `h` for all the available options to navigate the list.
=============================================================================
1. Anomali
2. Azure AD
3. Azure AD Directory Audit
4. Azure AD Organizational Context
5. Cloud Passage
6. Duo Auth
7. Duo User Context
8. Fox-IT
9. Imperva:
[Log type] Enter your choice: 7
You have selected Duo User Context
======================================
======================================
(*) - Required fields.
Password/secret inputs are hidden.
(*) Username (Username to authenticate as)
=> USERNAME
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com")
=> api-xxxxxxxx.duosecurity.com
Feed created successfully with Feed ID: 9cfce415-97df-413b-8e38-e7c747f9ed38
Wenn die Erstellung des Feeds fehlschlägt, wird der Nutzer das nächste Mal aufgefordert, den fehlgeschlagenen Feed zu wiederholen. Sie können es noch einmal versuchen oder einen neuen Feed erstellen. Mit dem Wiederholungsmechanismus können Sie die Werte aus dem vorherigen fehlgeschlagenen Versuch interaktiv ändern. Sie können einfach die Eingabetaste drücken, wenn Sie bei der Feederstellung denselben Wert für eine Option wiederverwenden möchten.
Beispielausgabe:
====================================
========== Set Properties ==========
====================================
List of Source types:
1. Amazon S3
2. Amazon SQS
3. Google Cloud Storage
4. HTTP(S) URI
5. Microsoft Azure Blob Storage
6. SFTP
7. Third party API
[Source type] Enter your choice: 7
You have selected Third party API
[Log type] Enter your choice: 6
You have selected Duo Auth
Enter feed display name: my_duo_auth_feed
======================================
=========== Input Parameters =========
======================================
(*) - Required fields.
Password/secret inputs are hidden.
(*) Username (Username to authenticate as)
=> test
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com")
=> test.com
Error occurred while creating feed.
Response Code: 400.
Error: generic::invalid_argument: failed to create feed for the customer (ID: ed19f037-2354-43df-bfbf-350362b45844): failed to create feed for the customer (ID: ed19f037-2354-43df-bfbf-350362b45844): failed to create feed because of the following errors in the request: generic::invalid_argument: for Duo feeds, 'hostname' must be specified as "api-xxxxxxxx.duosecurity.com", e.g. "api-eval.duosecurity.com"
$ chronicle_cli feeds create
Looks like there was a failed feed create/update attempt with source type: Third party API and log type: Duo Auth.
Would you like to retry?
======================================
=========== Input Parameters =========
======================================
(*) - Required fields.
Password/secret inputs are hidden.
(*) Username (Username to authenticate as) [test]
=>
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com") [test.com]
=> api-xxxxxxxx.duosecurity.com
Feed created successfully with Feed ID: 29a2f967-6f6e-4521-bebf-6fb6c7383df6
Argument „get“
Ruft Details eines vorhandenen Feeds ab.
Verwendungsbeispiel
$ chronicle_cli feeds get --help
Usage: main feeds get [OPTIONS]
Get feed details using Feed ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chronicle_credentials.json
-h, --help Show this message and exit.
Der Nutzer muss die Feed-ID interaktiv eingeben, um die Feeddetails abzurufen.
Beispielausgabe:
Enter Feed ID: 72d9b843-b387-4b17-ab2d-a8497313c89c
Feed Details:
ID: 72d9b843-b387-4b17-ab2d-a8497313c89c
Display Name: my_duo_auth_feed
Source type: Third party API
Log type: Salesforce
State: ACTIVE
Feed Settings:
API Hostname: myinstance.salesforce.com
Argument „list“
Listet alle Feeds auf.
Verwendungsbeispiel
$ chronicle_cli feeds list --help
Usage: chronicle_cli feeds list [OPTIONS]
List all feeds
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
--export TEXT Export output to specified file path
--file-format [TXT|CSV|JSON] Format of the file to be exported
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chronicle_credentials.json
-h, --help Show this message and exit.
Mit dem Befehl werden die Details aller vom Kunden erstellten Feeds abgerufen.
Beispielausgabe:
Feed Details:
ID: 29259301-156b-4b60-ae91-855d15c39f6a
Source type: Third party API
Log type: Anomali
State: INACTIVE
============================================================
Feed Details:
ID: 292b7629-0250-476c-9fb2-4c8a738ce42c
Display Name: my_duo_auth_feed
Source type: Third party API
Log type: Duo Auth
State: ACTIVE
Feed Settings:
API hostname: api-test.duosecurity.com
============================================================
Feed Details:
ID: 0d063a7f-34a1-4dd0-9dcf-9c7a0bb03e65
Source type: Third party API
Log type: Workspace Activities
State: ACTIVE
Feed Settings:
Customer ID: C12abc
Applications: ['drive', 'login']
============================================================
Wenn Sie die Daten exportieren möchten, können Sie den absoluten/relativen Pfad der zu exportierenden Datei und das Format der Datei angeben (CSV/TXT/JSON). Das Standarddateiformat ist CSV.
Beispielausgabe:
Feed Details:
ID: 29259301-156b-4b60-ae91-855d15c39f6a
Source type: Third party API
Log type: Anomali
State: INACTIVE
============================================================
Feed Details:
ID: 292b7629-0250-476c-9fb2-4c8a738ce42c
Display Name: my_duo_auth_feed
Source type: Third party API
Log type: Duo Auth
State: ACTIVE
Feed Settings:
API hostname: api-test.duosecurity.com
============================================================
Feed Details:
ID: 0d063a7f-34a1-4dd0-9dcf-9c7a0bb03e65
Source type: Third party API
Log type: Workspace Activities
State: ACTIVE
Feed Settings:
Customer ID: C12abc
Applications: ['drive', 'login']
============================================================
Feed list details exported successfully to: /usr/local/google/home/<user>/out/chronicle-cli/output.txt
Argument „update“
Aktualisiert einen vorhandenen Feed.
Verwendungsbeispiel
$ chronicle_cli feeds update
Usage: chronicle_cli feeds update [OPTIONS]
Update feed details using Feed ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chronicle_credentials.json
-h, --help Show this message and exit.
Beim Ausführen des Befehls fragt die Chronicle-Befehlszeile den Nutzer nach einer Feed-ID an. Nach der Eingabe der Feed-ID wird der Nutzer aufgefordert, alle Feldwerte noch einmal einzugeben. Der Nutzer kann den alten Wert durch Drücken der Eingabetaste wiederverwenden.
Beispielausgabe:
Enter Feed ID: ea28d66b-d81b-4b4d-ae16-3b1cd98132ca
Press Enter if you don't want to update.
Enter feed display name[old_display_name]:
(*) Username (Username to authenticate as)
=> USERNAME
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com") [api-xxxxxxxx.duosecurity.com]
=>
Feed updated successfully with Feed ID: ea28d66b-d81b-4b4d-ae16-3b1cd98132ca
Enter Feed ID: 29a2f967-6f6e-4521-bebf-6fb6c7383df6
Press Enter if you don't want to update.
Enter feed display name[]: my_feed_display_name
(*) Username (Username to authenticate as)
=> test1
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com") [api-xxxxxxxx.duosecurity.com]
=> test.com
Error occurred while updating feed. Response code: 400.
Error: generic::invalid_argument: failed to update feed for the customer (ID: ed19f037-2354-43df-bfbf-350362b45844): failed to edit feed because of the following errors in the request: generic::invalid_argument: for Duo feeds, 'hostname' must be specified as "api-xxxxxxxx.duosecurity.com", e.g. "api-eval.duosecurity.com"
$ chronicle_cli feeds update
Enter Feed ID: 29a2f967-6f6e-4521-bebf-6fb6c7383df6
Looks like there was a failed feed create/update attempt with source type: Third party API and log type: Duo Auth.
Would you like to retry?
Press Enter if you don't want to update.
(*) Username (Username to authenticate as) [test1]
=>
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com") [test.com]
=> api-devtest.duosecurity.com
Feed updated successfully with Feed ID: 29a2f967-6f6e-4521-bebf-6fb6c7383df6
Wenn die Feedaktualisierung fehlgeschlagen ist und der Nutzer dieselbe Feed-ID eingibt, wird er aufgefordert, den fehlgeschlagenen Feed zu wiederholen oder den Vorgang neu zu starten. Wenn die vom Nutzer eingegebene Feed-ID nicht mit der fehlgeschlagenen Feed-ID übereinstimmt, wird der Nutzer nicht aufgefordert, es noch einmal zu versuchen. Der normale Vorgang zur Aktualisierung des Feeds wird fortgesetzt.
Wenn die Feedaktualisierung fehlschlägt, wird der Nutzer das nächste Mal aufgefordert, den fehlgeschlagenen Feed zu wiederholen. Sie können es noch einmal versuchen oder einen anderen Feed aktualisieren. Der Nutzer wird dann aufgefordert, die zu aktualisierende Feed-ID einzugeben, und fordert dann neue Optionen auf. Mit dem Wiederholungsmechanismus können Sie die Optionswerte des vorherigen fehlgeschlagenen Versuchs interaktiv ändern. Sie können einfach die Eingabetaste drücken, wenn Sie bei einer Feedaktualisierung denselben Wert für eine Option verwenden möchten.
Beispielausgabe:
Enter Feed ID: 51574667-dee6-408b-a5fc-0e07d3e9a429
Looks like there was a failed feed create/update attempt with source type: Third party API and log type: Duo Auth.
Would you like to retry?
Press Enter if you don't want to update.
Enter feed display name[old_display_name]:
(*) Username (Username to authenticate as) [TEEST]
=> TEST
(*) Secret (Secret to authenticate with)
=>
(*) API hostname (The fully qualified domain name for your instance of the API, having the form "api-xxxxxxxx.duosecurity.com") [asd]
=> api-xxxxxxxx.duosecurity.com
Feed updated successfully with Feed ID: 51574667-dee6-408b-a5fc-0e07d3e9a429
Argument „delete“
Verwenden Sie dieses Argument, um einen Feed mit einer Feed-ID zu löschen. Bei der Ausführung werden Sie aufgefordert, die ID des Feeds zu löschen.
Verwendungsbeispiel
$ chronicle_cli feeds delete --help
Usage: chronicle_cli feeds delete [OPTIONS]
Delete a feed
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter Feed ID: b0798c54-ed84-44e7-96d5-cbe208f28e49
Feed (ID: b0798c54-ed84-44e7-96d5-cbe208f28e49) deleted successfully.
Argument „enable“
Aktiviert einen Feed.
Verwendungsbeispiel
$ chronicle_cli feeds enable --help
Usage: main feeds enable [OPTIONS]
Enable feed for the given Feed ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Der Nutzer muss die Feed-ID interaktiv eingeben, um den Feed zu aktivieren.
Beispielausgabe:
Enter Feed ID: 29259301-156b-4b60-ae91-855d15c39f6a
Feed with ID: 29259301-156b-4b60-ae91-855d15c39f6a enabled successfully.
Argument „disable“
Deaktiviert einen Feed
Verwendungsbeispiel
$ chronicle_cli feeds disable --help
Usage: main feeds disable [OPTIONS]
Disable feed for the given Feed ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Der Nutzer muss die Feed-ID interaktiv eingeben, um den Feed zu deaktivieren.
Beispielausgabe:
Enter Feed ID: 29259301-156b-4b60-ae91-855d15c39f6a
Feed with ID: 29259301-156b-4b60-ae91-855d15c39f6a disabled successfully.
Optionen
Hilfe (-h / --help)
Verwenden Sie die -- oder ---Hilfeoptionen, um für jeden Befehl oder jede Option die Nutzung/Beschreibung aufzurufen.
Verwendungsbeispiel
$ chronicle_cli feeds get -h
Usage: main feeds get [OPTIONS]
Get feed details using Feed ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console
-c, --credential-path TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cli/chron
icle_credentials.json
-h, --help Show this message and exit.
Pfad der Anmeldedaten (-c oder --credential-path)
Mit dieser Option können Sie den Pfad für die Dienstkonto-Anmeldedaten angeben, die für die Authentifizierung des Nutzers verwendet werden sollen. Wenn diese Option nicht angegeben ist, sucht die Chronicle-Befehlszeile nach Anmeldedaten im Standardpfad, also ~/.chronicle_cli (in einem verborgenen Verzeichnis namens .chronicle_cli im Basisverzeichnis).
Verwendungsbeispiel
$ chronicle_cli feeds list --credential-path=C:\chronicle_credentials.json
Ausführlich (--ausführlich)
Wenn dieses Flag verwendet wird, gibt die Chronicle-Befehlszeile weitere Details wie HTTP-Anfragen und -Antworten an die Console aus.
Verwendungsbeispiel
$ chronicle_cli feeds list --verbose
Exportieren (--export)
Mit dieser Option kann der Nutzer den Dateipfad angeben, in den die Ausgabe des Befehls list exportiert wird. Es werden sowohl relative als auch absolute Pfade unterstützt.
Verwendungsbeispiel
$ chronicle_cli feeds list --export=$HOME/listFeedsResponse.txt
Dateiformat (--file-format)
Mit dieser Option kann der Nutzer das Dateiformat der mit dem Befehl list exportierten Inhalte festlegen. Drei Formate werden unterstützt: CSV, JSON und TXT. Wenn diese Option nicht mit der Option --export angegeben wird, wird das CSV-Format standardmäßig verwendet.
Verwendungsbeispiel
$ chronicle_cli feeds list --export=$HOME/listFeedsResponse.txt --file-format=TXT
Beispielausgabe:
CSV-Format
ID,Display Name,Source type,Log type,State,Feed Settings
29259301-156b-4b60-ae91-855d15c39f6a,,Third party API,Anomali,INACTIVE,
292b7629-0250-476c-9fb2-4c8a738ce42c,my_duo_auth_feed,Third party API,Duo Auth,ACTIVE,API hostname: api-xxxxxxxxabjdsfklsadlfnsafs.duosecurity.com
0d063a7f-34a1-4dd0-9dcf-9c7a0bb03e65,,Third party API,Workspace Activities,ACTIVE,"Customer ID: C12abc Applications: ['drive', 'login']"
TXT-Format
Feed Details:
ID: 29259301-156b-4b60-ae91-855d15c39f6a
Source type: Third party API
Log type: Anomali
State: INACTIVE
============================================================
Feed Details:
ID: 292b7629-0250-476c-9fb2-4c8a738ce42c
Display Name: my_duo_auth_feed
Source type: Third party API
Log type: Duo Auth
State: ACTIVE
Feed Settings:
API hostname: api-test.duosecurity.com
============================================================
JSON-Format
[
{
"name": "feeds/29259301-156b-4b60-ae91-855d15c39f6a",
"details": {
"logType": "ANOMALI_IOC",
"feedSourceType": "API",
"anomaliSettings": {}
},
"feedState": "INACTIVE"
},
{
"name": "feeds/292b7629-0250-476c-9fb2-4c8a738ce42c",
"details": {
"logType": "DUO_AUTH",
"feedSourceType": "API",
"duoAuthSettings": {
"hostname": "api-test.duosecurity.com"
}
},
"feedState": "ACTIVE",
"displayName": "my_duo_auth_feed"
}
]
Region (--region)
Sie können die Region auswählen, indem Sie das Flag --region mit dem Befehl übergeben. Die API-Aufrufe werden an das entsprechende Chronicle-Back-End der Region gesendet.
Sie können einen Regionswert aus den folgenden Formaten auswählen: US, EUROPE, ASIA_SOUTHEAST1.
Wenn der Nutzer die Region nicht angibt, wird die Standardregion auf US gesetzt.
Fehlerbehebung
In diesem Abschnitt wird die Ausgabe angezeigt, die in der Konsole für verschiedene Arten von Antwortcodes angezeigt wird, die von der API-Antwort empfangen wurden.
get Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| 404 | Ungültige Feed-ID Geben Sie eine gültige Feed-ID ein. |
| 400 | Der Feed ist nicht vorhanden. |
| Sonstiger Antwortcode | Fehler beim Abrufen des Feeds.
Antwortcode: {status code}
Fehler: {error message}
|
list Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | Fehler beim Abrufen der Feedliste.
Antwortcode: {status code}
Fehler: {error message}
|
| Ein Feed in der Liste konnte nicht abgerufen werden | Am Ende der Konsolenausgabe wird eine Liste mit den Details der Feed-ID und der entsprechenden Fehlermeldung angezeigt. |
create Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | Beim Erstellen des Feeds ist ein Fehler aufgetreten.
Antwortcode: {status code}
Fehler: {error message}
|
update Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | Beim Aktualisieren des Feeds ist ein Fehler aufgetreten. Antwortcode: {status code}
Fehler: {error message}
|
delete Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| 404 | Ungültige Feed-ID Geben Sie eine gültige Feed-ID ein. |
| 400 | Der Feed ist nicht vorhanden. |
| Sonstiger Antwortcode | Fehler beim Löschen des Feeds.
Antwortcode: {status code}
Fehler: {error message}
|
enable Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| 404 | Ungültige Feed-ID Geben Sie eine gültige Feed-ID ein. |
| 400 | Der Feed ist nicht vorhanden. |
| Sonstiger Antwortcode | Fehler beim Aktivieren des Feeds.
Antwortcode: {status code}
Fehler: {error message}
|
disable Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| 404 | Ungültige Feed-ID Geben Sie eine gültige Feed-ID ein. |
| 400 | Der Feed ist nicht vorhanden. |
| Sonstiger Antwortcode | Fehler beim Deaktivieren des Feeds.
Antwortcode: {status code}
Fehler: {error message}
|
Andere Fehler oder Ausnahmen
| Ausnahme | Konsolenausgabe |
| KeyError | Schlüssel {key name} konnte in der Antwort nicht gefunden werden.
|
| Ausnahme | Fehler bei Ausnahme: {exception details}
|
| Datei mit Anmeldedaten fehlt | Fehler bei Ausnahme: [Errno 2] Keine solche Datei oder kein solches Verzeichnis: /usr/local/google/home/ Sie müssen die Anmeldedaten im erwarteten Verzeichnis ablegen. Weitere Informationen finden Sie unter Installation. |
Workflows für die Parser-Verwaltung
Die Chronicle-CLI kann mit den folgenden Befehlen zur Verwaltung von CBN-Parsern verwendet werden:
Befehle
Befehl parsers
Der Befehl parsers verwendet diese Argumente:
archivedownloadgeneratehistorylistlist_errorsrunstatussubmit
Nutzungssyntax:
$ chronicle_cli parsers ARGUMENT [OPTIONS]
Argumente
Alle CBN-Parser-Verwaltungsworkflows in der Chronicle-Befehlszeile sind interaktiv. Der Nutzer wird nach Optionen gefragt, wenn er für Befehle erforderlich ist.
Argument „list“
Verwenden Sie den folgenden Befehl, um die Details aller Parser eines bestimmten Kunden aufzulisten:
$ chronicle_cli parsers list -h
Usage: main parsers list [OPTIONS]
List all parsers of a given customer
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--export TEXT Export output to specified file path
--file-format [TXT|CSV|JSON] Format of the file to be exported
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Fetching list of parsers...
Parser Details:
Config ID: 1cb402d9-eab2-4f6b-b402-20b1211675ed
Log type: WINDOWS_SYSMON
State: LIVE
SHA256: 7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7
Author: <user>@test.com
Submit Time: 2022-08-26T09:57:10.644351Z
State Last Changed Time: 2022-08-26T09:58:23.809636Z
Last Live Time: 2022-08-26T09:58:23.809636Z
============================================================
Parser Details:
Config ID: 7f2ae1f5-8f0c-43f9-bb02-299e7c8b9e82
Log type: BOX
State: LIVE
SHA256: 8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7
Author: <user>@test.com
Submit Time: 2022-08-25T07:33:31.026399Z
State Last Changed Time: 2022-08-25T07:33:32.263754Z
Last Live Time: 2022-08-25T07:33:32.263754Z
============================================================
Argument „generate“
Verwenden Sie den folgenden Befehl, um Beispiellogs für einen bestimmten Logtyp zu generieren:
$ chronicle_cli parsers generate -h
Usage: main parsers generate [OPTIONS]
Generate sample logs for a given log type
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Der Befehl erstellt drei Dateien mit 1, 10 und 1.000 Beispiellogs im Stammverzeichnis unter <root>/chronicle_cli/cbn/<log_type>/.
Beispielausgabe:
Enter Start Date (Format: yyyy-mm-ddThh:mm:ssZ): 2022-08-17T10:00:00Z
Enter End Date (Format: yyyy-mm-ddThh:mm:ssZ): 2022-08-23T10:00:00Z
Enter Log Type: WINDOWS_DHCP
Generating sample size: 1...
Generating sample size: 10...
Generating sample size: 1k...
Generated sample data (WINDOWS_DHCP); run this to go there:
cd /usr/local/home/<user>/cbn/windows_dhcp
Argument „history“
Verwenden Sie den folgenden Befehl, um eine Liste aller Parser-Einreichdetails für einen bestimmten Logtyp abzurufen:
$ chronicle_cli parsers history -h
Usage: main parsers history [OPTIONS]
History retrieves all parsers submissions given a log type
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter Log Type: WINDOWS_SYSMON
Fetching history for parser...
Parser History:
Config ID: 8d9f5b1c-4689-4ca3-ae9b-863ce78dd123
Log type: WINDOWS_SYSMON
State: LIVE
SHA256: 7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7
Author: author@test.com
Submit Time: 2022-08-26T12:37:55.187407Z
State Last Changed Time: 2022-08-26T12:39:12.198587Z
Last Live Time: 2022-08-26T12:39:12.198587Z
============================================================
Parser History:
Config ID: 29bbf14b-2ffb-411a-bb37-911b13437123
Log type: WINDOWS_SYSMON
State: ARCHIVED
SHA256: 8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7
Author: author@test.com
Submit Time: 2022-08-26T12:05:34.421743Z
State Last Changed Time: 2022-08-26T12:39:12.198587Z
Last Live Time: 2022-08-26T12:06:55.495269Z
============================================================
Argument „list_errors“
Verwenden Sie den folgenden Befehl, um Fehler eines Logtyps zwischen bestimmten Zeitstempeln aufzulisten:
$ chronicle_cli parsers list_errors -h
Usage: main parsers list_errors [OPTIONS]
List errors of a log type between specific timestamps
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--export TEXT Export output to specified file path
--file-format [TXT|CSV|JSON] Format of the file to be exported
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter Log Type: CISCO_ASA_FIREWALL
Enter Start Date (Format: yyyy-mm-ddThh:mm:ssZ): 2021-01-16T00:00:00Z
Enter End Date (Format: yyyy-mm-ddThh:mm:ssZ): 2022-08-21T12:00:00Z
Getting parser errors...
Error Details:
Error ID: f9eb72cb-f320-dd5a-a098-00bcaa76a35d
Config ID: N/A
Log type: CISCO_ASA_FIREWALL
Error Time: 2022-08-18T10:57:56.898883208Z
Error Category: CBN_parsers_GENERATED_INVALID_EVENT
Error Message: generic::invalid_argument: diff event timestamp ("seconds:1630106465") and create timestamp ("seconds:1660820265 nanos:202151000"): 8531h36m40.202151s, larger than allowed (4320h0m0s)
Logs:
<190>Aug 27 2020 23:21:05 TEST : %ASA-6-106012: Deny IP from 1.2.3.4 to 5.6.7.8, IP options: Test user
============================================================
Error Details:
Error ID: f9eb72cb-f320-dd5a-a098-00bcaa76a35d
Config ID: N/A
Log type: CISCO_ASA_FIREWALL
Error Time: 2022-08-18T10:57:56.898883208Z
Error Category: CBN_parsers_GENERATED_INVALID_EVENT
Error Message: generic::invalid_argument: diff event timestamp ("seconds:1630106465") and create timestamp ("seconds:1660820265 nanos:202151000"): 8531h36m40.202151s, larger than allowed (4320h0m0s)
Logs:
<190>Aug 27 2020 23:21:05 TEST : %ASA-6-106012: Deny IP from 1.2.3.4 to 5.6.7.8, IP options: Demo user
Argument „run“
Verwenden Sie den folgenden Befehl, um den Parser anhand bestimmter Logs zu validieren:
$ chronicle_cli parsers run -h
Usage: main parsers run [OPTIONS]
Run the parser against given logs
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter path for conf file: /usr/local/home/Desktop/windows_sysmon.conf
Enter path for log file: /usr/local/home/Desktop/windows_sysmon.log
Running Validation…
Runtime: 2.4914s
Argument „submit“
Verwenden Sie den folgenden Befehl, um einen neuen Parser zu senden:
$ chronicle_cli parsers submit -h
Usage: main parsers submit [OPTIONS]
Submit new parser
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter Log type: CISCO_ASA_FIREWALL
Enter Config file path: /usr/local/Desktop/windows_sysmon.conf
Enter author: test
Submitting parser...
Submitted Parser Details:
Config ID: 9ba20930-9733-4fcd-badf-18fedb9f8123
Log type: CISCO_ASA_FIREWALL
State: NEW
SHA256: 7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7
Author: test
Submit Time: 2022-08-30T06:49:54.005119Z
State Last Changed Time: 2022-08-30T06:49:54.005119Z
Parser submitted successfully. To get status of the parser, run this command using following Config ID - 9ba20930-9733-4fcd-badf-18fedb9f8123:
chronicle_cli parsers status
Argument „status“
Verwenden Sie den folgenden Befehl, um den Status eines eingereichten Parsers abzurufen:
$ chronicle_cli parsers status -h
Usage: main parsers status [OPTIONS]
Get status of a submitted parser
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter Config ID: 1cb402d9-eab2-4f6b-b402-20b1211675ed
Getting parser...
Parser Details:
Config ID: 1cb402d9-eab2-4f6b-b402-20b1211675ed
Log type: WINDOWS_SYSMON
State: ARCHIVED
SHA256: 79ac67c15ffb047a152be2fb2a3391cbe18b2d183e9e6a402eb2fe53a6666b17
Author: test
Submit Time: 2022-08-26T09:57:10.644351Z
State Last Changed Time: 2022-08-26T09:58:23.809636Z
Last Live Time: 2022-08-26T09:58:23.809636Z
Argument „archive“
Verwenden Sie den folgenden Befehl, um einen vorhandenen Parser eines bestimmten Kunden zu archivieren:
$ chronicle_cli parsers archive -h
Usage: main parsers archive [OPTIONS]
Archives a parser given the config ID.
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Enter Config ID: 1cb402d9-eab2-4f6b-b402-20b121167123
Archiving parser...
Parser archived Successfully.
Parser Details:
Config ID: 1cb402d9-eab2-4f6b-b402-20b121167123
Log type: WINDOWS_SYSMON
State: ARCHIVED
SHA256: 7xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7
Author: test
Submit Time: 2022-08-26T09:57:10.644351Z
State Last Changed Time: 2022-08-26T09:58:23.809636Z
Last Live Time: 2022-08-26T09:58:23.809636Z
Argument „download“
Verwenden Sie den folgenden Befehl, um die Konfigurationsdatei (.conf) für einen bestimmten Logtyp oder eine Konfigurations-ID herunterzuladen:
$ chronicle_cli parsers download -h
Usage: main parsers download [OPTIONS]
Download parser code by given Config ID or Log type.
Options:
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
- Konfigurations-ID verwenden.
Note: If you want to download parser by log type then skip the config ID.
Enter config ID: 9d1474ab-eff2-4855-ba57-4f0c458e3ac2
Downloading parser...
Writing parser to: CISCO_ASA_FIREWALL_20220825131911.conf
- Logtyp verwenden.
Note: If you want to download parser by log type then skip the config ID.
Enter config ID:
Enter Log Type: CISCO_ASA_FIREWALL
Downloading parser...
Writing parser to: CISCO_ASA_FIREWALL_20220825132011.conf
Optionen
Hilfe (-h / --help)
Verwenden Sie die Option -h oder --help, um die Nutzung mit einer Beschreibung für einen beliebigen Befehl aufzurufen.
Verwendungsbeispiel:
$ chronicle_cli parsers list -h
Usage: main parsers list [OPTIONS]
List all parsers of a given customer
Options:
-f, --file-format [TXT|JSON] Format of the file to be exported
--export TEXT Export output to specified file path
--env [prod|test] Optionally specify the environment for API
calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/home/<user>/.chronicle_cli/chro
nicle_credentials.json
-h, --help Show this message and exit.
Umgebung (--env)
Sie können die Umgebung auswählen, indem Sie das Flag --env mit dem Befehl übergeben. Die API-Aufrufe werden dann entsprechend ausgeführt.
Sie können einen Umgebungswert aus den folgenden Optionen auswählen: prod, test.
Wenn der Nutzer diese Option nicht festlegt, wird standardmäßig „prod“ verwendet.
Datei mit Anmeldedaten (-c oder --credentials_file)
Mit dieser Option können Sie den Pfad für die Dienstkonto-Anmeldedaten angeben, die für die Authentifizierung des Nutzers verwendet werden sollen. Wenn diese Option nicht angegeben ist, sucht die Chronicle-Befehlszeile nach Anmeldedaten im Standardpfad, also ~/.chronicle_cli (in einem verborgenen Verzeichnis namens .chronicle_cli im Basisverzeichnis).
Verwendungsbeispiel:
$ chronicle_cli parsers list --credential_file=C:\chronicle_credentials.json
Region (--region)
Sie können die Region auswählen, indem Sie das Flag --region mit dem Befehl übergeben. Die API-Aufrufe werden an das entsprechende Chronicle-Regions-Back-End gesendet.
Sie können einen Regionswert aus den folgenden Formaten auswählen: US, EUROPE, ASIA_SOUTHEAST1.
Wenn der Nutzer die Region nicht angibt, wird die Standardregion auf US gesetzt.
Ausführlich (--ausführlich)
Mit dieser Option kann der Nutzer die Details der HTTP-Anfrage und der erhaltenen Antwort ausgeben.
Verwendungsbeispiel:
$ chronicle_cli parsers list --verbose
Exportieren (--export)
Mit dieser Option kann der Nutzer den Dateipfad angeben, in den die Ausgabe des Befehls list oder list_errors exportiert wird. Es werden sowohl relative als auch absolute Pfade unterstützt.
Verwendungsbeispiel:
$ chronicle_cli parsers list --export=parsers_list
Dateiformat (--file-format)
Mit dieser Option kann der Nutzer das Dateiformat der mit dem Befehl list oder list_errors exportierten Inhalte festlegen. Es werden drei Formate unterstützt: JSON und TXT. Wenn diese Option nicht mit der Option --export angegeben wird, wird das TXT-Format standardmäßig verwendet.
Verwendungsbeispiel:
$ chronicle_cli parsers list --export=parsers_list --file-format=JSON
Fehlerbehebung
Fehlercodes der CBN-Parser-Verwaltung
In diesem Abschnitt wird die Ausgabe angezeigt, die in der Konsole für verschiedene Arten von Antwortcode angezeigt wird, die von der API-Antwort empfangen wurden.
In der folgenden Tabelle sehen Sie die Ausgabe für jeden Befehl:
| Antwortcode | Befehl | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | {command}[archive, download, generate, history, list_errors, run, status, list, submit] |
Fehler beim {command}-Parser.Antwortcode: {status code}Fehler: {error message} |
Workflows für die Nutzerverwaltung für die Weiterleitung
Mit der Chronicle-CLI können Sie die Forwarder und die zugehörigen Collectors mit den folgenden Befehlen verwalten:
Befehle
Befehl forwarders
Der Befehl forwarders verwendet diese Argumente:
createupdategetlistdeletegenerate_filescollectors
Nutzungssyntax:
$ chronicle_cli forwarders ARGUMENT [OPTIONS]
Befehl collectors
Der Befehl collectors verwendet diese Argumente:
createupdategetlistdelete
Nutzungssyntax:
$ chronicle_cli forwarders collectors ARGUMENT [OPTIONS]
Argumente
Alle Forwarder Management-Nutzerworkflows in der Chronicle-Befehlszeile sind interaktiv. Der Nutzer wird bei Bedarf zur Eingabe von Optionen aufgefordert.
Argument „create“
Verwenden Sie den folgenden Befehl, um einen neuen Forwarder zu erstellen und Collectors dafür zu konfigurieren:
$ chronicle_cli forwarders create --help
Usage: main forwarders create [OPTIONS]
Create a Forwarder
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders create
================================================================================
Press Enter if you want to use the default value mentioned besides field description in [] brackets.
================================================================================
(*) Forwarder Display Name : test_display_name
========================================
======== Forwarder Configuration =======
========================================
Upload Compression (Determines if uploaded data will be compressed) [Y/n]: y
Do you want to proceed with Forwarder Metadata? [y/N]: y
========================================
========== Forwarder Metadata ==========
========================================
Asset Namespace: test_namespace
========================================
=========== Forwarder Labels ===========
========================================
Labels (The ingestion metadata labels in 'key:value' format to apply to all logs ingested through this forwarder, as well as the resulting normalized data.)
Enter/Paste your content. On a new line, press Ctrl-D (Linux) / [Ctrl-Z + Enter (Windows)] to save it:
key1:value1
key2:value2
Do you want to proceed with Forwarder Regex Filters? [y/N]: y
========================================
======= Forwarder Regex Filters =======
========================================
Filter Description (Describes what is being filtered and why): desc1
Filter Regexp (The regular expression used to match against each incoming line): .*
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
: 1
You have selected allow
Do you want to add more Forwarder Regex Filters [y/N]: y
Filter Description (Describes what is being filtered and why): desc2
Filter Regexp (The regular expression used to match against each incoming line): .*
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
: 2
You have selected block
Do you want to add more Forwarder Regex Filters [y/N]: n
Do you want to proceed with Server Settings? [y/N]: y
========================================
=========== Server Settings ===========
========================================
Server State (Server State for Collector)
Choose:
1. active
2. suspended
: 1
You have selected active
Graceful Timeout (Number of seconds after which the forwarder returns a bad readiness/health check and still accepts new connections) [15]:
Drain timeout (Number of seconds after which the forwarder waits for active connections to successfully close on their own before being closed by the server) [10]:
Do you want to proceed with HTTP-specific server settings? [y/N]: y
========================================
==== HTTP-specific server settings ====
========================================
Host (IP address, or hostname that can be resolved to IP addresses, that the server should listen on) [0.0.0.0]: 10.0.14.132
Port (Port number that the HTTP server listens on for health checks from the load balancer) [8080]: 8000
Read Timeout (Maximum amount of time allowed to read the entire request, both the header and the body) [3]:
Read Header Timeout (Maximum amount of time allowed to read request headers) [3]:
Write Timeout (Maximum amount of time allowed to send a response) [3]:
Idle Timeout (Maximum amount of time (in seconds) to wait for the next request when idle connections are enabled) [3]:
Do you want to proceed with Route Settings? [y/N]: y
========================================
============ Route Settings ============
========================================
Available Status Code (Status code returned when a liveness check is received and the forwarder is available) [204]: 200
Ready Status Code (Status code returned when it is ready to accept traffic) [204]: 200
Unready Status Code (Status code returned when it is not ready to accept traffic) [503]: 500
Preview changes:
- Press Up/b or Down/z keys to paginate.
- To switch case-sensitivity, press '-i' and press enter. By default, search
is case-sensitive.
- To search for specific field, press '/' key, enter text and press enter.
- Press 'q' to quit and confirm preview changes.
- Press `h` for all the available options to navigate the list.
=============================================================================
Config:
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- behavior: ALLOW
description: desc1
regexp: .*
- behavior: BLOCK
description: desc2
regexp: .*
Server settings:
Drain timeout: 10
Graceful timeout: 15
Http settings:
Host: 10.0.14.132
Idle timeout: 3
Port: 8000
Read header timeout: 3
Read timeout: 3
Do you want to create forwarder with this configuration [y/N]: y
Creating forwarder...
Forwarder created successfully with Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Would you like to configure collectors for this forwarder? [y/N]: y
(*) Collector Display Name: collector_1
========================================
======== Collector Configuration ======
========================================
(*) Collector Log Type (Type of logs collected): WINDOWS_DNS
Do you want to proceed with Collector Metadata? [y/N]: y
========================================
========== Collector Metadata ==========
========================================
Asset Namespace: test_namespace
========================================
=========== Forwarder Labels ===========
========================================
Labels (The ingestion metadata labels in 'key:value' format to apply to all logs ingested through this forwarder, as well as the resulting normalized data.)
Enter/Paste your content. On a new line, press Ctrl-D (Linux) / [Ctrl-Z + Enter (Windows)] to save it:
key1:value1
key2:value2
Do you want to proceed with Collector Regex Filters? [y/N]: y
========================================
======= Collector Regex Filters =======
========================================
Filter Description (Describes what is being filtered and why): desc1
Filter Regexp (The regular expression used to match against each incoming line): .*
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
: 1
You have selected allow
Do you want to add more Collector Regex Filters [y/N]: n
Do you want to proceed with Collector Disk Buffer? [y/N]: y
========================================
======== Collector Disk Buffer ========
========================================
Disk Buffer State (Disk buffering state for collector)
Choose:
1. active
2. suspended
: 1
You have selected active
Directory Path (Directory path for files written): path/to/file.txt
Max File Buffer Bytes (Maximum buffered file size): 45
Maximum Seconds per Batch (Maximum number of seconds between forwarder batch uploads) [10]:
Maximum Bytes per Batch (Maximum number of bytes queued before forwarder batch upload) [1048576]:
========================================
===== Configure Ingestion Settings =====
========================================
Choose:
1. File Settings
2. Kafka Settings
3. Pcap Settings
4. Splunk Settings
5. Syslog Settings
: 1
File Path (Path of file to monitor): path/to/file.txt
Preview changes:
- Press Up/b or Down/z keys to paginate.
- To switch case-sensitivity, press '-i' and press enter. By default, search
is case-sensitive.
- To search for specific field, press '/' key, enter text and press enter.
- Press 'q' to quit and confirm preview changes.
- Press `h` for all the available options to navigate the list.
=============================================================================
Config:
Disk buffer:
Directory path: path/to/file.txt
Max file buffer bytes: 45
State: ACTIVE
File settings:
File path: path/to/file.txt
Log type: WINDOWS_DNS
Max bytes per batch: 1048576
Max seconds per batch: 10
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
Behavior: ALLOW
Description: desc1
Regexp: .*
Display name: collector_1
Do you want to create collector with this configuration [y/N]: y
Creating collector...
Collector created successfully with Collector ID: 1f72f9ab-3ae3-4c5f-955e-86c982587937
Would you like to add more collectors? [y/N]: n
Wenn der Forwarder erstellt wurde und der Nutzer dieselbe Forwarder-ID eingibt, wird er aufgefordert, den fehlgeschlagenen Forwarder noch einmal zu versuchen oder den Vorgang neu zu starten. Wenn die von Ihnen eingegebene Forwarder-ID nicht mit der Forwarder-ID übereinstimmt, werden Sie nicht noch einmal aufgefordert, den Vorgang auszuführen.
Beispielausgabe:
...
Creating forwarder...
Error occurred while creating forwarder.
Response Code: 500.
Error: ZERO_APP::1: create forwarder due to validation errors in request: generic::invalid_argument: filter's description is not specified
$ chronicle_cli forwarders create
Looks like there was a failed create/update attempt for test.
Would you like to retry?
(*) Forwarder Display Name [test]:
Do you want to create forwarder with this configuration [y/N]: y
Creating forwarder...
Forwarder created successfully with Forwarder ID: ab7af569-d957-44a3-99a8-aa70ffdc6458
Would you like to configure collectors for this forwarder? [y/N]: n
Argument „get“
Verwenden Sie den folgenden Befehl, um Details zu einem vorhandenen Forwarder und den entsprechenden Collectors abzurufen:
$ chronicle_cli forwarders get --help
Usage: main forwarders get [OPTIONS]
Get forwarder details using Forwarder ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Der Nutzer muss die Forwarder-ID interaktiv eingeben, um die Forwarder-Details abzurufen.
$ chronicle_cli forwarders get
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Fetching forwarder and its all associated collectors...
Forwarder Details:
ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Display name: test_display_name
State: ACTIVE
Config:
Upload compression: true
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
- description: desc2
regexp: .*
behavior: BLOCK
Server settings:
Graceful timeout: 15
Drain timeout: 10
Http settings:
Port: 8000
Host: 10.0.14.132
Read timeout: 3
Read header timeout: 3
Write timeout: 3
Idle timeout: 3
Route settings:
Available status code: 200
Ready status code: 200
Unready status code: 500
State: ACTIVE
Collectors:
Collector [1f72f9ab-3ae3-4c5f-955e-86c982587937]:
Display name: collector_1
State: ACTIVE
Config:
Log type: WINDOWS_DNS
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
Disk buffer:
State: ACTIVE
Directory path: path/to/file.txt
Max file buffer bytes: '45'
Max seconds per batch: 10
Max bytes per batch: '1048576'
File settings:
File path: path/to/file.txt
================================================================================
Argument „list“
Verwenden Sie den folgenden Befehl, um eine Liste aller Forwarder und entsprechenden Collectors aufzurufen:
$ chronicle_cli forwarders list --help
Usage: main forwarders list [OPTIONS]
List all forwarders
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
--export TEXT Export output to specified file path
--file-format [TXT|CSV|JSON] Format of the file to be exported
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Mit dem Befehl werden die Details aller vom Kunden erstellten Forwarder und Collectors abgerufen.
Beispielausgabe:
$ chronicle_cli forwarders list
Fetching list of forwarders...
Forwarder Details:
ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Display name: test_display_name
State: ACTIVE
Config:
Upload compression: true
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
- description: desc2
regexp: .*
behavior: BLOCK
Server settings:
Graceful timeout: 15
Drain timeout: 10
Http settings:
Port: 8000
Host: 10.0.14.132
Read timeout: 3
Read header timeout: 3
Write timeout: 3
Idle timeout: 3
Route settings:
Available status code: 200
Ready status code: 200
Unready status code: 500
State: ACTIVE
Collectors:
Collector [1f72f9ab-3ae3-4c5f-955e-86c982587937]:
Display name: collector_1
State: ACTIVE
Config:
Log type: WINDOWS_DNS
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
Disk buffer:
State: ACTIVE
Directory path: path/to/file.txt
Max file buffer bytes: '45'
Max seconds per batch: 10
Max bytes per batch: '1048576'
File settings:
File path: path/to/file.txt
================================================================================
Forwarder Details:
ID: ddcca884-cdc6-4ac2-ad30-05a28e6cf35a
Display name: test
State: ACTIVE
Config:
Upload compression: true
Metadata:
Asset namespace: test
Labels:
- key: k1
value: v2
Regex filters:
- description: hh
regexp: hh
behavior: ALLOW
- description: gg
regexp: gg
behavior: BLOCK
Server settings:
Graceful timeout: 15
Drain timeout: 10
Http settings:
Port: 8080
Host: 0.0.0.0
Read timeout: 3
Read header timeout: 3
Write timeout: 3
Idle timeout: 3
Route settings:
Available status code: 204
Ready status code: 204
Unready status code: 503
State: ACTIVE
Collectors:
Message: No collectors found for this forwarder.
================================================================================
Wenn Sie die Daten exportieren möchten, können Sie den absoluten/relativen Pfad der zu exportierenden Datei und das Format der Datei angeben (CSV/TXT/JSON). Das Standarddateiformat ist CSV.
Beispielausgabe:
$ chronicle_cli forwarders list --export=$HOME/listforwarder --file-format=JSON
Fetching list of forwarders...
Forwarder Details:
ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Display name: test_display_name
State: ACTIVE
Config:
Upload compression: true
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
- description: desc2
regexp: .*
behavior: BLOCK
Server settings:
Graceful timeout: 15
Drain timeout: 10
Http settings:
Port: 8000
Host: 10.0.14.132
Read timeout: 3
Read header timeout: 3
Write timeout: 3
Idle timeout: 3
Route settings:
Available status code: 200
Ready status code: 200
Unready status code: 500
State: ACTIVE
Collectors:
Collector [1f72f9ab-3ae3-4c5f-955e-86c982587937]:
Display name: collector_1
State: ACTIVE
Config:
Log type: WINDOWS_DNS
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
Disk buffer:
State: ACTIVE
Directory path: path/to/file.txt
Max file buffer bytes: '45'
Max seconds per batch: 10
Max bytes per batch: '1048576'
File settings:
File path: path/to/file.txt
================================================================================
Forwarder Details:
ID: ddcca884-cdc6-4ac2-ad30-05a28e6cf35a
Display name: test
State: ACTIVE
Config:
Upload compression: true
Metadata:
Asset namespace: test
Labels:
- key: k1
value: v2
Regex filters:
- description: hh
regexp: hh
behavior: ALLOW
- description: gg
regexp: gg
behavior: BLOCK
Server settings:
Graceful timeout: 15
Drain timeout: 10
Http settings:
Port: 8080
Host: 0.0.0.0
Read timeout: 3
Read header timeout: 3
Write timeout: 3
Idle timeout: 3
Route settings:
Available status code: 204
Ready status code: 204
Unready status code: 503
State: ACTIVE
Collectors:
Message: No collectors found for this forwarder.
================================================================================
Forwarders list details exported successfully to: /usr/local/google/home/<user>/listforwarder.json
Argument „update“
Verwenden Sie den folgenden Befehl, um einen vorhandenen Forwarder zu aktualisieren:
$ chronicle_cli forwarders update --help
Usage: main forwarders update [OPTIONS]
Update a forwarder using Forwarder ID.
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beim Ausführen des Befehls fragt die Chronicle-Befehlszeile den Nutzer nach einer Forwarder-ID an. Nach der Eingabe der Forwarder-ID wird der Nutzer aufgefordert, alle Feldwerte noch einmal einzugeben. Der Nutzer kann den alten Wert durch Drücken der Eingabetaste wiederverwenden.
Beispielausgabe:
$ chronicle_cli forwarders update
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Press Enter if you don't want to update.
(*) Forwarder Display Name [test_display_name]:
========================================
======== Forwarder Configuration =======
========================================
Upload Compression (Determines if uploaded data will be compressed) [Y/n]: y
Do you want to proceed with Forwarder Metadata? [y/N]: y
========================================
========== Forwarder Metadata ==========
========================================
Asset Namespace [test_namespace]:
========================================
=========== Forwarder Labels ===========
========================================
Labels (The ingestion metadata labels in 'key:value' format to apply to all logs ingested through this forwarder, as well as the resulting normalized data.)
Enter/Paste your content. On a new line, press Ctrl-D (Linux) / [Ctrl-Z + Enter (Windows)] to save it:
[[{'key': 'key1', 'value': 'value1'}, {'key': 'key2', 'value': 'value2'}]]
Do you want to proceed with Forwarder Regex Filters? [y/N]: n
Do you want to proceed with Server Settings? [y/N]: n
Do you want to update forwarder with this configuration? [y/N]: y
Updating forwarder...
Forwarder updated successfully with Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Wenn die Aktualisierung des Forwarders fehlgeschlagen ist und der Nutzer dieselbe Forwarder-ID eingibt, wird er aufgefordert, den fehlgeschlagenen Forwarder noch einmal zu versuchen oder den Vorgang neu zu starten. Wenn die vom Nutzer eingegebene Forwarder-ID nicht mit der Forwarder-ID übereinstimmt, wird der Nutzer nicht aufgefordert, es noch einmal zu versuchen, und der Prozess zum Aktualisieren des Forwarders wird fortgesetzt.
Wenn das Forwarder-Update fehlschlägt, wird der Nutzer das nächste Mal aufgefordert, den fehlgeschlagenen Forwarder noch einmal zu versuchen. Sie können es noch einmal versuchen oder einen anderen Forwarder aktualisieren. Der Nutzer wird aufgefordert, die Forwarder-ID einzugeben, um zu aktualisieren, und fordert dann neue Optionen auf. Mit dem Wiederholungsmechanismus können Sie die Optionswerte des vorherigen fehlgeschlagenen Versuchs interaktiv ändern. Sie können einfach die Eingabetaste drücken, wenn Sie denselben Wert für eine Option im Forwarder-Update-Vorgang wiederverwenden möchten.
Argument „delete“
Mit diesem Befehl wird eine Forwarder-ID mit einer Forwarder-ID gelöscht. Bei der Ausführung werden Sie aufgefordert, die ID des Forwarders zu löschen.
Verwenden Sie den folgenden Befehl, um einen vorhandenen Forwarder zu löschen:
chronicle_cli forwarders delete --help
Usage: main forwarders delete [OPTIONS]
Delete a forwarder using Forwarder ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders delete
Enter Forwarder ID: 0593ba21-a1c7-4279-b429-bc8df959bd59
Deleting forwarder and all its associated collectors...
Forwarder (ID: 0593ba21-a1c7-4279-b429-bc8df959bd59) deleted successfully with all its associated collectors.
Argument „generate_files“
Mit diesem Befehl wird mithilfe der Forwarder-ID eine Datei mit Informationen zum Forwarder generiert.
Verwenden Sie den folgenden Befehl, um die Forwarder-Datei zu generieren:
$ chronicle_cli forwarders generate_files -h
Usage: main forwarders generate_files [OPTIONS]
Generate forwarder configuration files using Forwarder ID
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-f, --file-path TEXT Download generated forwarder files to the
specified path.
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders generate_files --file-path=$HOME/GenerateForwarderFile
Enter Forwarder ID: 0768220e-8af6-4ef7-a1dd-73e33963b444
Generating forwarder files ...
Forwarder files generated successfully.
Configuration file: /usr/local/google/home/<user>/GenerateForwarderFile_forwarder.conf
Auth file: /usr/local/google/home/<user>/GenerateForwarderFile_forwarder_auth.conf
Collector-Unterbefehle
Argument „create“
Verwenden Sie den folgenden Befehl, um einen neuen Collector für einen bestimmten Forwarder zu konfigurieren.
$ chronicle_cli forwarders collectors create --help
Usage: main forwarders collectors create [OPTIONS]
Create a collector.
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders collectors create
================================================================================
Press Enter if you want to use the default value mentioned besides field description in [] brackets.
================================================================================
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
(*) Collector Display Name: collector_4
========================================
======== Collector Configuration ======
========================================
(*) Collector Log Type (Type of logs collected): WINDOWS_DNS
Do you want to proceed with Collector Metadata? [y/N]: y
========================================
========== Collector Metadata ==========
========================================
Asset Namespace: test_namespace
========================================
=========== Forwarder Labels ===========
========================================
Labels (The ingestion metadata labels in 'key:value' format to apply to all logs ingested through this forwarder, as well as the resulting normalized data.)
Enter/Paste your content. On a new line, press Ctrl-D (Linux) / [Ctrl-Z + Enter (Windows)] to save it:
key1:value1
key2:value2
Do you want to proceed with Collector Regex Filters? [y/N]: y
========================================
======= Collector Regex Filters =======
========================================
Filter Description (Describes what is being filtered and why): desc1
Filter Regexp (The regular expression used to match against each incoming line): .*
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
: 1
You have selected allow
Do you want to add more Collector Regex Filters? [y/N]: n
Do you want to proceed with Collector Disk Buffer? [y/N]: n
Maximum Seconds per Batch (Maximum number of seconds between forwarder batch uploads) [10]:
Maximum Bytes per Batch (Maximum number of bytes queued before forwarder batch upload) [1048576]:
========================================
===== Configure Ingestion Settings =====
========================================
Choose:
1. File Settings
2. Kafka Settings
3. Pcap Settings
4. Splunk Settings
5. Syslog Settings
File Path (Path of file to monitor): path/to/file.txt
Preview changes:
- Press Up/b or Down/z keys to paginate.
- To switch case-sensitivity, press '-i' and press enter. By default, search
is case-sensitive.
- To search for specific field, press '/' key, enter text and press enter.
- Press 'q' to quit and confirm preview changes.
- Press `h` for all the available options to navigate the list.
=============================================================================
Config:
File settings:
File path: path/to/file.txt
Log type: WINDOWS_DNS
Max bytes per batch: 1048576
Max seconds per batch: 10
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
Behavior: ALLOW
Description: desc1
Regexp: .*
Display name: collector_4
Do you want to create collector with this configuration? [y/N]: y
Creating collector...
Collector created successfully with Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Wenn die Collector-Erstellung fehlgeschlagen ist und der Nutzer dieselbe Collector-ID eingibt, wird er aufgefordert, den fehlgeschlagenen Collector zu wiederholen oder den Vorgang neu zu starten. Wenn die vom Nutzer eingegebene Collector-ID nicht mit der fehlgeschlagenen Collector-ID übereinstimmt, wird der Nutzer nicht aufgefordert, es noch einmal zu versuchen, und der normale Prozess der Collector-Aktualisierung wird fortgesetzt.
Beispielausgabe:
$ chronicle_cli forwarders collectors create
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Looks like there was a failed create/update attempt for test_display.
Would you like to retry?
(*) Collector Display Name [test_display]:
========================================
======== Collector Configuration ======
========================================
(*) Collector Log Type (Type of logs collected) [WINDOWS_DNS]:
Do you want to proceed with Collector Metadata? [y/N]: y
========================================
========== Collector Metadata ==========
========================================
Asset Namespace [test]:
========================================
=========== Forwarder Labels ===========
========================================
Labels (The ingestion metadata labels in 'key:value' format to apply to all logs ingested through this forwarder, as well as the resulting normalized data.)
Enter/Paste your content. On a new line, press Ctrl-D (Linux) / [Ctrl-Z + Enter (Windows)] to save it:
[[{'key': 'k1', 'value': 'v1'}]]
Do you want to proceed with Collector Regex Filters? [y/N]: y
========================================
======= Collector Regex Filters =======
========================================
Filter Description (Describes what is being filtered and why)[old_desc]: desc2
Filter Regexp (The regular expression used to match against each incoming line) [.*]:
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
You have selected allow
Do you want to add more Collector Regex Filters? [y/N]: n
Do you want to proceed with Collector Disk Buffer? [y/N]: n
Maximum Seconds per Batch (Maximum number of seconds between forwarder batch uploads) [10]:
Maximum Bytes per Batch (Maximum number of bytes queued before forwarder batch upload) [1048576]:
========================================
===== Configure Ingestion Settings =====
========================================
Choose:
1. File Settings
2. Kafka Settings
3. Pcap Settings
4. Splunk Settings
5. Syslog Settings
: 1
File Path (Path of file to monitor) [path/to/file.txt]: path/to/file.txt
Preview changes:
- Press Up/b or Down/z keys to paginate.
- To switch case-sensitivity, press '-i' and press enter. By default, search
is case-sensitive.
- To search for specific field, press '/' key, enter text and press enter.
- Press 'q' to quit and confirm preview changes.
- Press `h` for all the available options to navigate the list.
=============================================================================
Config:
File settings:
File path: path/to/file.txt
Log type: WINDOWS_DNS
Max bytes per batch: 1048576
Max seconds per batch: 10
Metadata:
Asset namespace: test
Labels:
- key: k1
value: v1
Regex filters:
Behavior: ALLOW
Description: disc2
Regexp: .*
Display name: test_display
Do you want to create collector with this configuration? [y/N]: y
Creating collector...
Collector created successfully with Collector ID: b50a6b41-5476-41ee-ba7c-ce529ecffa62
Argument „get“
Verwenden Sie den folgenden Befehl, um Details zu einem vorhandenen Collector abzurufen:
$ chronicle_cli forwarders collectors get --help
Usage: main forwarders collectors get [OPTIONS]
Get a collector using collector ID.
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
Der Nutzer muss die Collector-ID interaktiv eingeben, um die Collector-Details abzurufen.
$ chronicle_cli forwarders collectors get
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Enter Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Fetching collector details...
Collector Details:
ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Display name: collector_4
State: ACTIVE
Config:
Log type: WINDOWS_DNS
Metadata:
Asset namespace: test_namespace
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
- description: desc2
regexp: .*
behavior: BLOCK
Max seconds per batch: 10
Max bytes per batch: '1048576'
File settings:
File path: path/to/file.txt
Argument „list“
Verwenden Sie den folgenden Befehl, um eine Liste aller Collectors aufzurufen:
chronicle_cli forwarders collectors list --help
Usage: main forwarders collectors list [OPTIONS]
List all collectors.
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
--export TEXT Export output to specified file path
--file-format [TXT|CSV|JSON] Format of the file to be exported
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders collectors list
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Collector Details:
ID: 153e4077-cd49-4ce5-87aa-254d239b9dda
Display name: collector_2
State: ACTIVE
Config:
Log type: WINDOWS_DNS
Metadata:
Asset namespace: test
Labels:
- key: key1
value: value1
- key: key2
value: value2
Regex filters:
- description: desc1
regexp: .*
behavior: ALLOW
Disk buffer:
State: ACTIVE
Directory path: path/to/dir
Max file buffer bytes: '209'
Max seconds per batch: 10
Max bytes per batch: '1048576'
File settings:
File path: path/to/file.txt
================================================================================
Collector Details:
ID: b50a6b41-5476-41ee-ba7c-ce529ecffa62
Display name: test_display
State: ACTIVE
Config:
Log type: WINDOWS_DNS
Metadata:
Asset namespace: test
Labels:
- key: k1
value: v1
Regex filters:
- description: disc2
regexp: .*
behavior: ALLOW
- description: test
regexp: test
behavior: BLOCK
Disk buffer:
State: ACTIVE
Directory path: test
Max file buffer bytes: '55'
Max seconds per batch: 5
Max bytes per batch: '556676'
Syslog settings:
Protocol: TCP
Address: 1.2.3.4
Port: 3456
Buffer size: '65536'
Connection timeout: 60
Tls settings:
Certificate: test
Certificate key: test
Minimum tls version: '56'
Insecure skip verify: true
================================================================================
Argument „update“
Verwenden Sie den folgenden Befehl, um einen vorhandenen Collector zu aktualisieren:
$ chronicle_cli forwarders collectors update --help
Usage: main forwarders collectors update [OPTIONS]
Update a collector using collector ID.
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders collectors update
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Enter Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
(*) Collector Display Name [collector_4]:
========================================
======== Collector Configuration ======
========================================
(*) Collector Log Type (Type of logs collected) [WINDOWS_DNS]:
Do you want to proceed with Collector Metadata? [y/N]: y
========================================
========== Collector Metadata ==========
========================================
Asset Namespace [test_namespace]:
========================================
=========== Forwarder Labels ===========
========================================
Labels (The ingestion metadata labels in 'key:value' format to apply to all logs ingested through this forwarder, as well as the resulting normalized data.)
Enter/Paste your content. On a new line, press Ctrl-D (Linux) / [Ctrl-Z + Enter (Windows)] to save it:
[{'key1':'value1'},{'key2':'value2'}]
Do you want to proceed with Collector Regex Filters? [y/N]: y
========================================
======= Collector Regex Filters =======
========================================
Filter Description (Describes what is being filtered and why)[old_desc]: desc1
Filter Regexp (The regular expression used to match against each incoming line)[.*]: .*
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
You have selected allow
Do you want to add more Collector Regex Filters? [y/N]: y
Filter Description (Describes what is being filtered and why): desc2
Filter Regexp (The regular expression used to match against each incoming line): .*
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
: 2
You have selected block
Do you want to add more Collector Regex Filters? [y/N]: n
Do you want to proceed with Collector Disk Buffer? [y/N]: n
Maximum Seconds per Batch (Maximum number of seconds between forwarder batch uploads) [10]:
Maximum Bytes per Batch (Maximum number of bytes queued before forwarder batch upload) [1048576]:
========================================
===== Configure Ingestion Settings =====
========================================
Choose:
1. File Settings
2. Kafka Settings
3. Pcap Settings
4. Splunk Settings
5. Syslog Settings
File Path (Path of file to monitor) [path/to/file.txt]: path/to/file.txt
Do you want to update collector with this configuration? [y/N]: y
Updating collector...
Collector updated successfully with Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Wenn die Collector-Aktualisierung fehlgeschlagen ist und der Nutzer dieselbe Collector-ID eingibt, wird er aufgefordert, den fehlgeschlagenen Collector zu wiederholen oder den Vorgang neu zu starten. Wenn die vom Nutzer eingegebene Collector-ID nicht mit der fehlgeschlagenen Collector-ID übereinstimmt, wird der Nutzer nicht aufgefordert, es noch einmal zu versuchen. Der normale Vorgang zum Aktualisieren des Collectors wird fortgesetzt.
Wenn das Collector-Update fehlschlägt, wird der Nutzer das nächste Mal aufgefordert, den fehlgeschlagenen Collector zu wiederholen. Sie können es noch einmal versuchen oder einen anderen Collector aktualisieren. Der Nutzer wird aufgefordert, die Collector-ID einzugeben, um zu aktualisieren, und fordert dann neue Optionen auf. Mit dem Wiederholungsmechanismus können Sie die Optionswerte des vorherigen fehlgeschlagenen Versuchs interaktiv ändern. Sie können einfach die Eingabetaste drücken, wenn Sie denselben Wert für eine Option im Ablauf der Collector-Aktualisierung wiederverwenden möchten.
...
Updating collector...
Do you want to update collector with this configuration? [y/N]: y
Error occurred while updating collector.
Response Code: 400.
Error: generic::invalid_argument: update collector (id: 3a74b289-ccb4-4cee-9713-611a3362f48f) for forwarder (id: a7e59660-959b-44e7-aa7e-baec820d01f4) for customer (id: ed19f037-2354-43df-bfbf-350362b45844): validation errors in request: generic::invalid_argument: filter's description is not specified: invalid argument
$ chronicle_cli forwarders collectors update
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Enter Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Looks like there was a failed create/update attempt for collector_4.
Would you like to retry?
(*) Collector Display Name [collector_4]:
========================================
======== Collector Configuration ======
========================================
(*) Collector Log Type (Type of logs collected) [WINDOWS_DNS]:
Do you want to proceed with Collector Metadata? [y/N]: n
Do you want to proceed with Collector Regex Filters? [y/N]: y
========================================
======= Collector Regex Filters =======
========================================
Filter Description (Describes what is being filtered and why)[old_desc]: desc1
Filter Regexp (The regular expression used to match against each incoming line) [.*]:
Filter Behavior (Filter behavior to apply when a match is found)
Choose:
1. allow
2. block
You have selected allow
Do you want to add more Collector Regex Filters? [y/N]: n
Do you want to proceed with Collector Disk Buffer? [y/N]: n
Maximum Seconds per Batch (Maximum number of seconds between forwarder batch uploads) [10]:
Maximum Bytes per Batch (Maximum number of bytes queued before forwarder batch upload) [1048576]:
========================================
===== Configure Ingestion Settings =====
========================================
Choose:
1. File Settings
2. Kafka Settings
3. Pcap Settings
4. Splunk Settings
5. Syslog Settings
[1]:
File Path (Path of file to monitor) [path/to/file.txt]:
Do you want to update collector with this configuration? [y/N]: y
Updating collector...
Collector updated successfully with Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Argument „delete“
Mit diesem Befehl wird ein Collector mithilfe einer Collector-ID gelöscht. Bei der Ausführung werden Sie aufgefordert, die ID des Collectors zu löschen.
Verwenden Sie den folgenden Befehl, um einen vorhandenen Collector zu löschen:
$ chronicle_cli forwarders collectors delete --help
Usage: main forwarders collectors delete [OPTIONS]
Delete a collector using collector ID.
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Beispielausgabe:
$ chronicle_cli forwarders collectors delete
Enter Forwarder ID: a7e59660-959b-44e7-aa7e-baec820d01f4
Enter Collector ID: 3a74b289-ccb4-4cee-9713-611a3362f48f
Collector (ID: 3a74b289-ccb4-4cee-9713-611a3362f48f) deleted successfully.
Optionen
Hilfe (-h / --help)
Verwenden Sie die Option -h oder --help, um die Nutzung/Beschreibung für einen Befehl oder eine Option aufzurufen.
Verwendungsbeispiel
$ chronicle_cli forwarders list -h
Usage: main forwarders list [OPTIONS]
List all forwarders
Options:
--url TEXT Base URL to be used for API calls
--region [US|ASIA-SOUTHEAST1|EUROPE]
Select region
--verbose Prints verbose output to the console.
--export TEXT Export output to specified file path
--file-format [TXT|CSV|JSON] Format of the file to be exported
-c, --credential_file TEXT Path of Service Account JSON. Default: /usr/
local/google/home/<user>/.chronicle_cl
i/chronicle_credentials.json
-h, --help Show this message and exit.
Pfad der Anmeldedaten (-c oder --credential-path)
Mit dieser Option können Sie den Pfad für die Dienstkonto-Anmeldedaten angeben, die für die Authentifizierung des Nutzers verwendet werden sollen. Wenn diese Option nicht angegeben ist, sucht die Chronicle-Befehlszeile nach Anmeldedaten im Standardpfad, also ~/.chronicle_cli (in einem verborgenen Verzeichnis namens .chronicle_cli im Basisverzeichnis).
Verwendungsbeispiel
$ chronicle_cli forwarders list --credential-path=C:\chronicle_credentials.json
Ausführlich (--ausführlich)
Mit dieser Option kann der Nutzer die Details der HTTP-Anfrage und der erhaltenen Antwort ausgeben.
Verwendungsbeispiel
$ chronicle_cli forwarders list --verbose
Exportieren (--export)
Mit dieser Option kann der Nutzer den Dateipfad angeben, in den die Ausgabe des Befehls list exportiert wird. Es werden sowohl relative als auch absolute Pfade unterstützt.
Verwendungsbeispiel
$ chronicle_cli forwarders list --export=$HOME/listForwarderssResponse
Dateiformat (--file-format)
Mit dieser Option kann der Nutzer das Dateiformat der mit dem Befehl list exportierten Inhalte festlegen. Drei Formate werden unterstützt: CSV, JSON und TXT. Wenn diese Option nicht mit der Option --export angegeben wird, wird das CSV-Format standardmäßig verwendet.
Verwendungsbeispiel
$ chronicle_cli forwarders list --export=$HOME/listForwardersResponse --file-format=JSON
Beispielausgabe:
JSON-Format
{
"forwarders": [
{
"name": "55a77e24-9d16-4638-8940-0ef8071ed849",
"displayName": "new",
"config": {
"uploadCompression": true,
"metadata": {
"assetNamespace": "test",
"labels": [
{
"key": "k",
"value": "v"
},
{
"key": "k1",
"value": "v1"
}
]
},
"regexFilters": [
{
"description": "desc1",
"regexp": ".*",
"behavior": "ALLOW"
}
],
"serverSettings": {
"gracefulTimeout": 15,
"drainTimeout": 10,
"httpSettings": {
"port": 8080,
"host": "0.0.0.0",
"readTimeout": 3,
"readHeaderTimeout": 3,
"writeTimeout": 3,
"idleTimeout": 3,
"routeSettings": {
"availableStatusCode": 204,
"readyStatusCode": 204,
"unreadyStatusCode": 503
}
},
"state": "ACTIVE"
}
},
"state": "ACTIVE",
"collectors": {
"Collector [3e8243c3-7ff2-4ede-89fe-16410ffe03bd]": {
"name": "3e8243c3-7ff2-4ede-89fe-16410ffe03bd",
"displayName": "cre_test_2",
"state": "ACTIVE",
"config": {
"logType": "WINDOWS_DNS",
"metadata": {
"assetNamespace": "test",
"labels": [
{
"key": "k",
"value": "v"
}
]
},
"regexFilters": [
{
"description": "desc1",
"regexp": ".*",
"behavior": "ALLOW"
}
],
"diskBuffer": {
"state": "ACTIVE",
"directoryPath": "23",
"maxFileBufferBytes": "33"
},
"maxSecondsPerBatch": 10,
"maxBytesPerBatch": "1048576",
"fileSettings": {
"filePath": "path/file.txt"
}
}
}
}
}
]
}
CSV-Format
1. {file_name}_forwarders.csv
2. {file_name}_collectors.csv
Beispielinhalt der Datei:
{file_name}_forwarders.csv:
Name,Display name,Forwarder state,[CONFIG] Upload compression,[CONFIG][METADATA] Asset namespace,[CONFIG][METADATA] Labels,[CONFIG] Regex filters,[CONFIG][SERVER_SETTINGS] Server state,[CONFIG][SERVER_SETTINGS] Graceful timeout,[CONFIG][SERVER_SETTINGS] Drain timeout,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS] Port,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS] Host,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS] Read timeout,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS] Read header timeout,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS] Write timeout,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS] Idle timeout,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS][ROUTE_SETTINGS] Available status code,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS][ROUTE_SETTINGS] Ready status code,[CONFIG][SERVER_SETTINGS][HTTP_SETTINGS][ROUTE_SETTINGS] Unready status code
0593ba21-a1c7-4279-b429-bc8df959bd59,test,ACTIVE,True,test,"k1: v1
k2: v2
",,,,,,,,,,,0,0,0
094c9e41-e7c8-407a-8b9a-eb34d608a609,test,ACTIVE,True,te,"k1: v1
k2: v2
",,,,,,,,,,,0,0,0
1189f869-5f3c-4ec7-ba48-9c80e33aadf0,test,ACTIVE,True,test,"key1: value1
key2: value2
",,ACTIVE,15,10,8080,0.0.0.0,3,4,5,8,204,204,500
{file_name}_collectors.csv
Forwarder ID,Name,Display Name,Collector state,[CONFIG] Log type,[CONFIG] Max seconds per batch,[CONFIG] Max bytes per batch,[CONFIG][METADATA] Asset namespace,[CONFIG][METADATA] Labels,[CONFIG] Regex filters,[CONFIG][DISK_BUFFER] State,[CONFIG][DISK_BUFFER] Directory path,[CONFIG][DISK_BUFFER] Max file buffer bytes,[CONFIG][FILE_SETTINGS] File path,[CONFIG][KAFKA_SETTINGS][AUTHENTICATION] username,[CONFIG][KAFKA_SETTINGS][AUTHENTICATION] password,[CONFIG][KAFKA_SETTINGS] Topic,[CONFIG][KAFKA_SETTINGS] Group id,[CONFIG][KAFKA_SETTINGS] Timeout,[CONFIG][KAFKA_SETTINGS] Brokers,[CONFIG][KAFKA_SETTINGS][TLS_SETTINGS] Certificate,[CONFIG][KAFKA_SETTINGS][TLS_SETTINGS] Certificate key,[CONFIG][KAFKA_SETTINGS][TLS_SETTINGS] Minimum tls version,[CONFIG][KAFKA_SETTINGS][TLS_SETTINGS] Insecure skip verify,[CONFIG][PCAP_SETTINGS] Network interface,[CONFIG][PCAP_SETTINGS] Bpf,[CONFIG][SPLUNK_SETTINGS][AUTHENTICATION] username,[CONFIG][SPLUNK_SETTINGS][AUTHENTICATION] Password,[CONFIG][SPLUNK_SETTINGS] Host,[CONFIG][SPLUNK_SETTINGS] Port,[CONFIG][SPLUNK_SETTINGS] Minimum window size,[CONFIG][SPLUNK_SETTINGS] Maximum windows size,[CONFIG][SPLUNK_SETTINGS] Query string,[CONFIG][SPLUNK_SETTINGS] Query mode,[CONFIG][SPLUNK_SETTINGS] Cert ignored,[CONFIG][SYSLOG_SETTINGS] Protocol,[CONFIG][SYSLOG_SETTINGS] Address,[CONFIG][SYSLOG_SETTINGS] Port,[CONFIG][SYSLOG_SETTINGS] Buffer size,[CONFIG][SYSLOG_SETTINGS] Connection timeout,[CONFIG][SYSLOG_SETTINGS][TLS_SETTINGS] Certificate,[CONFIG][SYSLOG_SETTINGS][TLS_SETTINGS] Certificate key,[CONFIG][SYSLOG_SETTINGS][TLS_SETTINGS] Minimum tls version,[CONFIG][SYSLOG_SETTINGS][TLS_SETTINGS] Insecure skip verify
1189f869-5f3c-4ec7-ba48-9c80e33aadf0,03d28371-1bcb-4b28-9364-18412de1f827,collector_2,ACTIVE,WINDOWS_DNS,10,1048576,collector_update,"key1: value1
key2: value2
",,ACTIVE,path/file.txt,23,path/to/file.txt,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
1189f869-5f3c-4ec7-ba48-9c80e33aadf0,8ba8278c-1eef-4a72-a45a-491463768c70,col_3,ACTIVE,WINDOWS_DNS,10,1048576,test,"k1: v1
",,ACTIVE,path/to/file,233,path,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
55a77e24-9d16-4638-8940-0ef8071ed849,3e8243c3-7ff2-4ede-89fe-16410ffe03bd,cre_test_2,ACTIVE,WINDOWS_DNS,10,1048576,test,"k: v
",,ACTIVE,23,33,path/file.txt,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Region (--region)
Sie können die Region auswählen, indem Sie das Flag --region mit dem Befehl übergeben. Die API-Aufrufe werden an das entsprechende Chronicle-Regions-Back-End gesendet.
Sie können einen Regionswert aus den folgenden Formaten auswählen: US, EUROPE, ASIA_SOUTHEAST1.
Wenn der Nutzer die Region nicht angibt, wird die Standardregion auf US gesetzt.
Fehlerbehebung
Fehlercodes
In diesem Abschnitt wird die Ausgabe angezeigt, die in der Konsole für verschiedene Arten von Antwortcodes angezeigt wird, die von der API-Antwort empfangen wurden.
In den folgenden Tabellen sehen Sie die Ausgabe für jeden Befehl:
Befehl Get
| Antwortcode | Konsolenausgabe |
| 404 | {Forwarder|Collector} ist nicht vorhanden.
|
| 400 | Ungültige {Forwarder|Collector}-ID. Geben Sie eine gültige {Forwarder|Collector}-ID ein.
|
| Sonstiger Antwortcode | Fehler beim Abrufen von {Forwarder|Collector}.
Antwortcode: {status code}
Fehler: {error message}
|
Befehl List
| Antwortcode | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | Fehler:
Antwortcode: {status code}
Fehler: {error message}
|
Befehl Create
| Antwortcode | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | Fehler beim Erstellen von {forwarder|collector}
Antwortcode: {status code}
Fehler: {error message}
|
Befehl Update
| Antwortcode | Konsolenausgabe |
| Beliebiger Antwortcode außer 200 | Beim Aktualisieren von {forwarder|collector} ist ein Fehler aufgetreten. Antwortcode: {status code}
Fehler: {error message}
|
Befehl Delete
| Antwortcode | Konsolenausgabe |
| 404 | {Forwarder|Collector} ist nicht vorhanden.
|
| 400 | Ungültige {Forwarder|Collector}-ID. Geben Sie eine gültige {Forwarder|Collector}-ID ein.
|
| Sonstiger Antwortcode | Beim Löschen von {Forwarder|Collector} ist ein Fehler aufgetreten.
Antwortcode: {status code}
Fehler: {error message}
|
Andere Fehler oder Ausnahmen
| Ausnahme | Konsolenausgabe |
| KeyError | Schlüssel {key name} konnte in der Antwort nicht gefunden werden.
|
| Ausnahme | Fehler bei Ausnahme: {exception details}
|
| Datei mit Anmeldedaten fehlt | Fehler bei Ausnahme: [Errno 2] Keine solche Datei oder kein solches Verzeichnis: /usr/local/google/home/ Sie müssen die Anmeldedaten im erwarteten Verzeichnis ablegen. Weitere Informationen finden Sie unter Installation. |
Bei anderen Fragen oder Problemen mit der Chronicle CLI wenden Sie sich bitte an den Chronicle-Support.
Workflows für den BigQuery-Datenzugriff
Chronicle unterstützt den Self-Service-Zugriff auf Chronicle-Daten in BigQuery. Mit der Chronicle-CLI können Sie IAM-Rollen (Identity and Access Management) mit den folgenden Berechtigungen für eine Nutzer-E-Mail-Adresse gewähren:
roles/bigquery.dataViewerroles/bigquery.jobUserroles/storage.objectViewer
Die E-Mail-Adresse muss die E-Mail-Adresse eines Chronicle Security-Kunden und eine GAIA-Nutzer-ID (Google Accounts and ID Administration) sein.
Weitere Informationen zu diesen Rollen finden Sie unter Tabellendaten exportieren.
Befehle
Befehl bigquery
Für den Befehl bigquery wird das Argument provide_access verwendet.
Nutzungssyntax:
$ chronicle_cli bigquery ARGUMENT [OPTIONS]
Argumente
Argument „provide_access“
Sie werden aufgefordert, die E-Mail-Adresse eines Nutzers einzugeben. Die E-Mail-Adresse muss die E-Mail-Adresse eines Google-Konto und einer ID-Verwaltungskonto (GAIA) eines Chronicle Security-Kunden sein. Der Nutzer erhält die erforderlichen IAM-Rollen, um Folgendes zu tun:
- Daten und Metadaten aus BigQuery-Tabellen lesen (
roles/bigquery.dataViewer) - Abfragen von BigQuery-Tabellendaten ausführen (
roles/bigquery.jobUser) - Daten in Google Cloud Storage-Buckets lesen(
roles/storage.objectViewer)
Verwendungsbeispiel
$ chronicle_cli bigquery provide_access
$ Enter email: xyz@gmail.com
Erfolgsantwort
Providing BigQuery access...
Access provided to email: xyz@gmail.com
Fehlerantwort
Providing BigQuery access...
Error while providing access:
Response code: 400
Optionen
Hilfe (-h / --help)
Verwenden Sie die -- oder ---Hilfeoptionen, um für jeden Befehl oder jede Option die Nutzung/Beschreibung aufzurufen.
Fehlerbehebung
In diesem Abschnitt wird die Ausgabe angezeigt, die in der Konsole für verschiedene Arten von Antwortcodes angezeigt wird, die von der API-Antwort empfangen wurden.
provide_access Antwortcodes für Argumente
| Antwortcode | Konsolenausgabe |
| 400 | Die E-Mail-Adresse ist nicht vorhanden. |
| Sonstiger Antwortcode | Fehler beim Abrufen des Feeds.
Antwortcode: {status code}
Fehler: {error message}
|