配置 Bindplane 以进行静默主机监控

支持的语言:

借助 Google Security Operations Silent Host Monitoring,您可以使用 Google Cloud Monitoring 为提取速率变化创建提醒。它会针对每个收集器生成提醒,并在提取速率低于您定义的阈值时通知您,表明收集器可能停止运行。此功能适用于 gRPC API。

前提条件

本指南假设您已使用 Google SecOps 标准化处理器

配置 Bindplane 以进行静默主机监控

如需为静默主机监控启用 Bindplane,请在日志条目中将收集器服务器的主机名作为属性发送。

  1. 日志标签页上,依次选择处理器 > 添加处理器 > 复制字段
  2. 配置 Copy Field 处理器:
    • 输入资源的简短说明。
    • 选择 Logs 遥测类型。
    • Copy From 字段设置为 Resources
    • Resource field 字段设置为 host.name
    • Copy To field 字段设置为 Attributes
    • Attributes Field 字段设置为 chronicle_ingestion_label["ingestion_source"]

Google Cloud Monitoring 阈值

根据需要设置阈值:

  • 如果阈值非常低,则表示收集器可能已停止运行,系统会发出提醒。
  • 如果阈值非常高,则表示可能存在来源收集问题。

我们建议您监控 Chronicle Collector > Ingestion > Total Ingestion Log Count 指标。

如需查看详细的设置说明,请参阅设置示例政策以检测静默 Google SecOps 转发器

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。