配置 Bindplane 以进行静默主机监控

借助 Google Security Operations Silent Host Monitoring，您可以使用 Google Cloud Monitoring 为提取速率变化创建提醒。它会针对每个收集器生成提醒，并在提取速率低于您定义的阈值时通知您，表明收集器可能停止运行。此功能适用于 gRPC API。

前提条件

本指南假设您已使用 Google SecOps 标准化处理器。

配置 Bindplane 以进行静默主机监控

如需为静默主机监控启用 Bindplane，请在日志条目中将收集器服务器的主机名作为属性发送。

1. 在日志标签页上，依次选择处理器 > 添加处理器 > 复制字段。
2. 配置 Copy Field 处理器：
   • 输入资源的简短说明。
   • 选择 Logs 遥测类型。
   • 将 Copy From 字段设置为 Resources。
   • 将 Resource field 字段设置为 host.name。
   • 将 Copy To field 字段设置为 Attributes。
   • 将 Attributes Field 字段设置为 chronicle_ingestion_label["ingestion_source"]。

Google Cloud Monitoring 阈值

根据需要设置阈值：

• 如果阈值非常低，则表示收集器可能已停止运行，系统会发出提醒。
• 如果阈值非常高，则表示可能存在来源收集问题。

我们建议您监控 Chronicle Collector > Ingestion > Total Ingestion Log Count 指标。

如需查看详细的设置说明，请参阅设置示例政策以检测静默 Google SecOps 转发器。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。