Guía del usuario sobre la administración de feeds
Descripción general y requisitos previos
La administración de feeds de Chronicle te permite crear y administrar feeds de datos en tu cuenta de Chronicle. La IU de administración de feeds se basa en la API de administración de feeds. Consulta aquí para obtener más información.
Cada feed de datos tiene su propio conjunto de requisitos que deben completarse antes de configurar el feed en Chronicle. Estos requisitos previos se describen en la sección Configuración del feed por tipo de la documentación de la API de administración de feeds. Busque el tipo de feed de datos que necesita configurar y siga las instrucciones.
Por ejemplo, si configura un feed de datos para una cuenta de Google Cloud Storage, deberá completar los siguientes requisitos previos:
Otorga acceso a Chronicle.
Agrega la dirección de correo electrónico 8911409095528497-0-account@partnercontent.gserviceaccount.com a los permisos de los objetos de Google Cloud Storage relevantes.
Realiza las siguientes acciones desde la sección de Cloud Storage en Google Cloud Console (console.cloud.google.com).
- Para otorgar permiso de lectura a un archivo específico, puedes "Editar acceso" en ese archivo y otorgar acceso de "Lector" al correo electrónico anterior. Esto solo se puede hacer si no habilitaste el acceso uniforme a nivel de bucket.
- Para otorgar permiso de lectura a varios archivos, debes otorgar acceso a nivel de bucket. En particular, debes agregar el correo electrónico anterior como principal a tu bucket de almacenamiento y otorgarle la función de IAM de visualizador de objetos de almacenamiento.
Si configuras el feed para borrar archivos de origen (consulta la siguiente información sobre cómo hacerlo), debes agregar el correo electrónico anterior como principal en tu bucket y otorgarle la función de IAM de Administrador de objetos de almacenamiento.
Borrar archivos de origen
Como se mencionó en la sección Descripción general, los diferentes tipos de feeds tienen distintos requisitos previos.
En varios tipos de feed, incluido Cloud Storage, hay un campo en el flujo de trabajo Agregar nuevo o Editar feed que contiene la etiqueta SOURCE DELETION OPTION. Es un menú desplegable con tres opciones:
- No borrar archivos nunca
- Borra los archivos transferidos y los directorios vacíos
- Borrar archivos transferidos
Las opciones 2 y 3 implican eliminaciones: una para los archivos y otra para los archivos Y cualquier directorio vacío. Si selecciona cualquiera de esas opciones, debe agregar los permisos específicos para su tipo de feed, que se encuentran en la sección Configuración de feed por tipo de la documentación de la API de administración de feeds.
Esta opción te permite borrar un objeto del sistema de almacenamiento después de transferirlo. Los feeds siempre recuerdan los objetos (o archivos) que se transfirieron y nunca transfieren el mismo archivo dos veces (a menos que se actualice), pero debe configurar esta opción si desea que el sistema realmente borre el objeto de origen después de que se haya transferido (correctamente).
Cómo crear y editar feeds
Para acceder a la interfaz de Administración de feeds, seleccione la opción Configuración en el menú principal.
Figura 1: Configuración
Luego, puede navegar a la página Feeds. Los feeds de datos que aparecen en esta página incluyen todos los feeds que Google ha configurado para su cuenta, además de los feeds que ha configurado.
Figura 2. Feeds
Agregar un feed
Para agregar un feed a tu cuenta de Chronicle, completa los siguientes pasos. Asegúrese de completar los requisitos previos para el tipo de feed de datos que planea agregar antes de intentar agregar uno nuevo aquí. Consulta la sección Descripción general y requisitos previos para obtener más información.
Haz clic en AGREGAR NUEVO. Aparecerá la ventana ADD FEED.
En la pestaña Set Properties, selecciona SOURCE TYPE en el menú desplegable. El tipo de fuente es el mecanismo mediante el cual intentas ingresar datos a Chronicle. Puede seleccionar entre los siguientes tipos de fuentes de feeds:
- Amazon S3
- Amazon SQS
- Google Cloud Storage
- Archivos HTTP(S) (sin API)
- Microsoft Azure Blob Storage
- API de terceros
Seleccione LOG TYPE en el menú desplegable. Los registros disponibles varían según el tipo de fuente que seleccionaste anteriormente. Haz clic en SIGUIENTE.
Figura 3: Selección de tipo de registro
Especifica los parámetros que se necesitan en la pestaña Parámetros de entrada. Las opciones que se presentan aquí varían según la fuente y el tipo de registro seleccionado en la pestaña Set Properties. Coloque el cursor sobre el ícono de pregunta que se encuentra sobre cada campo para obtener más información sobre lo que debe proporcionar.
(Opcional) Puedes especificar un espacio de nombres aquí. Para obtener más información sobre los espacios de nombres, consulta la documentación del espacio de nombres de elementos.
Haga clic en SIGUIENTE.
Figura 4: Configuración del parámetro de entrada
Revise la configuración de su nuevo feed en la pestaña Finalizar. Haz clic en ENVIAR cuando estés listo. Chronicle completa una verificación de validación del nuevo feed. Si el feed pasa la verificación, se genera un nombre para el feed, se envía a Chronicle y Chronicle comienza a intentar recuperar los datos.
Figura 5: Finaliza la solicitud de feed
Estado del feed
Puede supervisar el estado del feed desde la página Feeds inicial. Los feeds pueden tener los siguientes estados:
- Activo: El feed está configurado y listo para transferir datos a tu cuenta de Chronicle.
- En curso:Chronicle ahora intenta extraer datos del tercero configurado.
- Completado: Los datos se recuperaron correctamente mediante este feed.
- Archivado: Feed inhabilitado.
- Error: El feed no logra recuperar los datos correctamente. Esto probablemente se deba a un problema de configuración. Haz clic en la pregunta para mostrar el error de configuración. Una vez que corrija el error y vuelva a enviar el feed, vuelva a la página Feeds para determinar si el feed ahora funciona o no.
Editar feeds
En la página Feeds, puede editar un feed existente:
Desplácese sobre un feed existente y haga clic en el menú de tres puntos en la columna derecha.
Haga clic en Editar feed. Ahora puedes modificar los parámetros de entrada del feed y volver a enviarlo a Chronicle. Chronicle intentará usar el feed editado.
Habilitar e inhabilitar feeds
En la columna Estado, los feeds habilitados se etiquetan como Activo, En curso, Completado o Con errores. Los campos inhabilitados se etiquetan como Archivado. Consulte aquí una descripción de cada estado del feed.
En la página Feeds, puede habilitar o inhabilitar cualquiera de los feeds existentes:
Desplácese sobre un feed existente y haga clic en el menú de tres puntos en la columna derecha.
Para habilitar un feed, haga clic en el botón de activación Habilitar feed.
Para inhabilitar un feed, haga clic en el botón de activación Inhabilitar feed. El feed ahora está etiquetado como Archivado.
Borra feeds
En la página Feeds, también puede borrar un feed existente:
Desplácese sobre un feed existente y haga clic en el menú de tres puntos en la columna derecha.
Haz clic en Borrar feed. Se abrirá la ventana BORRAR FEED. Para borrar el feed de forma permanente, haga clic en Sí, borrarlo.