Forwarder Chronicle untuk Linux
Dokumen ini menjelaskan cara menginstal dan mengonfigurasi forwarder di Linux. Untuk menginstal forwarder di Windows, lihat Windows forwarder.
Forwarder digunakan untuk mengirim log dari lingkungan pelanggan ke instance Chronicle. Cara ini digunakan saat pelanggan ingin mengirim log langsung ke Chronicle, dan tidak ingin menggunakan bucket cloud untuk menyerap data, atau logtype tidak memiliki penyerapan native melalui API pihak ketiga. Forwarder dapat digunakan sebagai solusi siap deploy, alih-alih menggunakan API penyerapan secara manual.
Anda dapat menginstal forwarder di berbagai distribusi Linux, termasuk Debian, Ubuntu, Red Hat, dan Suse. Google Cloud menyediakan software menggunakan container Docker. Anda dapat menjalankan dan mengelola container Docker di mesin fisik atau virtual machine yang menjalankan Linux.
Persyaratan sistem
Berikut adalah rekomendasi umum. Untuk mendapatkan rekomendasi khusus bagi sistem Anda, hubungi Dukungan Chronicle.
RAM—1 GB untuk setiap jenis data yang dikumpulkan (kolektor) yang diterima Chronicle untuk penyerapan. Misalnya, jika telah menentukan 4 kolektor yang berbeda, Anda memerlukan RAM 4 GB untuk mengumpulkan data bagi keempat kolektor.
CPU—2 CPU sudah cukup untuk menangani kurang dari 10.000 peristiwa per detik (EPS) (total untuk semua jenis data). Jika Anda berharap untuk meneruskan lebih dari 10.000 EPS, sediakan 4 hingga 6 CPU.
Disk—Kapasitas disk sebesar 100 MB sudah cukup, terlepas dari jumlah data yang ditangani oleh forwarder Chronicle. Jika Anda perlu melakukan buffering pesan yang backlog ke disk sebagai ganti memori, lihat Buffering Disk. Forwarder Chronicle melakukan buffer ke memori secara default.
Rentang alamat IP Google
Rentang alamat IP mungkin perlu dibuka saat menyiapkan konfigurasi Forwarder, seperti saat menyiapkan konfigurasi untuk firewall. Google tidak dapat memberikan daftar alamat IP yang spesifik. Namun, Anda dapat mendapatkan rentang alamat IP Google.
Memverifikasi konfigurasi firewall
Setiap firewall atau proxy yang diautentikasi di antara container penerusan Chronicle dan internet memerlukan aturan untuk membuka akses ke host berikut:
| Jenis Koneksi | Tujuan | Port |
| TCP | malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
| TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
| TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
| TCP | accounts.google.com | 443 |
| TCP | gcr.io | 443 |
| TCP | oauth2.googleapis.com | 443 |
| TCP | storage.googleapis.com | 443 |
Menyesuaikan file konfigurasi
Google Cloud menyesuaikan file konfigurasi dengan instance forwarder dengan metadata spesifik seperti yang ditunjukkan di bagian output. Anda dapat mendownload file konfigurasi sesuai kebutuhan dan menyertakan informasi tentang jenis log yang akan diserap di bagian kolektor. Untuk mengetahui informasi selengkapnya tentang setelan konfigurasi, lihat Referensi setelan konfigurasi.
Mengonfigurasi Forwarder Linux
Untuk mengonfigurasi forwarder Linux melalui UI, lihat Mengelola konfigurasi penerusan melalui UI Chronicle.
Untuk mengonfigurasi forwarder Linux secara manual, lakukan hal berikut:
Buat salinan template file konfigurasi yang disediakan dengan software.
Download file konfigurasi melalui UI.
Simpan kedua file tersebut di direktori yang sama menggunakan konvensi penamaan berikut:
FORWARDER_NAME.conf—Gunakan file ini untuk menentukan setelan konfigurasi yang terkait dengan penyerapan log.FORWARDER_NAME_auth.conf—Gunakan file ini untuk menentukan kredensial otorisasi.Ubah file agar menyertakan konfigurasi untuk instance penerus Anda. Gunakan contoh yang disediakan dalam dokumen ini sebagai referensi.
Pastikan ada entri untuk setiap input di file
FORWARDER_NAME_auth.conf meskipun input tersebut tidak memiliki detail autentikasi yang sesuai. Hal ini diperlukan untuk memetakan data dengan benar.
Setiap perubahan yang dibuat pada file konfigurasi akan diterapkan secara otomatis oleh penerus dalam waktu 5 menit.
Contoh konfigurasi
Contoh kode berikut menunjukkan format file konfigurasi untuk penerusan. Untuk mengetahui detail tentang setelan untuk setiap jenis mekanisme penyerapan, seperti Splunk atau Syslog, lihat Mengumpulkan Data.
File FORWARDER_NAME.conf
output:
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: COLLECTOR_ID \
customer_id: CUSTOMER_ID \
collectors:
- syslog:
common:
enabled: true
data_type: "WINDOWS_DHCP"
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
udp_address: 0.0.0.0:10514
connection_timeout_sec: 60
tcp_buffer_size: 524288
- syslog:
common:
enabled: true
data_type: "WINDOWS_DNS"
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
connection_timeout_sec: 60
tcp_buffer_size: 524288
File FORWARDER_NAME_auth.conf
output:
identity:
secret_key: |
{
"type": "service_account",
"project_id": "PROJECT_ID" \,
"private_key_id": "PRIVATE_KEY_ID" \,
"private_key": "-----BEGIN PRIVATE KEY-----\\"PRIVATE_KEY" \n-----END PRIVATE KEY-----\n",
"client_email": "CLIENT_EMAIL" \,
"client_id": "CLIENT_ID" \,
"auth_uri": "https://accounts.google.com/o/oauth2/auth",
"token_uri": "https://oauth2.googleapis.com/token",
"auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
"client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/example-account-1%40example-account.iam.gserviceaccount.com"
}
collectors:
- syslog:
- syslog:
certificate: "../forwarder/inputs/testdata/localhost.pem"
certificate_key: "../forwarder/inputs/testdata/localhost.key"
Dengan sistem dua file ini, Anda dapat menyimpan kredensial autentikasi dalam file terpisah untuk meningkatkan keamanan. Anda dapat menyimpan file FORWARDER_NAME.conf
di
repositori kontrol versi atau sistem pengelolaan konfigurasi terbuka apa pun. Anda dapat menyimpan file FORWARDER_NAME_auth.conf secara langsung di mesin fisik atau virtual yang menjalankan forwarder.
Contoh Konfigurasi (Satu file)
output:
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: "COLLECTOR_ID" \
customer_id: "CUSTOMER_ID" \
secret_key: |
{
"type": "service_account",
"project_id": "PROJECT_ID" \,
"private_key_id": "PRIVATE_KEY_ID" \,
"private_key": "-----BEGIN PRIVATE KEY-----\ "PRIVATE_KEY" \n-----END PRIVATE KEY-----\n",
"client_email": "CLIENT_EMAIL" \,
"client_id": "CLIENT_ID" \,
"auth_uri": "https://accounts.google.com/o/oauth2/auth",
"token_uri": "https://oauth2.googleapis.com/token",
"auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
"client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/malachite-test-1%40malachite-test.iam.gserviceaccount.com"
}
collectors:
- syslog:
common:
enabled: true
data_type: "WINDOWS_DHCP"
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10514
udp_address: 0.0.0.0:10514
connection_timeout_sec: 60
tcp_buffer_size: 524288
- syslog:
common:
enabled: true
data_type: "WINDOWS_DNS"
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
connection_timeout_sec: 60
certificate: "../forwarder/inputs/testdata/localhost.pem"
certificate_key: "../forwarder/inputs/testdata/localhost.key"
tcp_buffer_size: 524288
Jika Anda menggunakan satu file konfigurasi dan ingin beralih ke sistem dua file, lakukan hal berikut:
- Buat salinan konfigurasi yang ada.
- Simpan satu file sebagai file
FORWARDER_NAME.conf dan hapus kredensial otorisasi dari file tersebut. - Simpan file lainnya sebagai file
FORWARDER_NAME_auth.conf dan hapus semua data non-otorisasi dari file tersebut. Gunakan contoh file konfigurasi yang diberikan dalam panduan ini sebagai referensi. - Pastikan Anda mengikuti konvensi penamaan dan panduan lain yang disebutkan di bagian Menyesuaikan file konfigurasi.
Instal Docker
Penginstalan Docker bergantung pada lingkungan host. Anda dapat menginstal Docker di berbagai sistem operasi host. Google Cloud menyediakan dokumentasi terbatas untuk membantu Anda menginstal Docker di beberapa distribusi Linux yang lebih populer. Namun, Docker bersifat open source dan semua dokumentasi yang diperlukan sudah tersedia. Untuk petunjuk tentang penginstalan Docker, lihat Dokumentasi Docker.
Setelah Docker terinstal di sistem Anda, proses penginstalan penerus Chronicle mirip dengan distribusi Linux jenis apa pun.
Untuk memeriksa apakah Docker terinstal dengan benar di sistem Anda, jalankan perintah berikut (hak istimewa yang ditingkatkan):
docker ps
Respons berikut menunjukkan bahwa Docker telah diinstal dengan benar:
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
Perintah Docker yang berguna
Anda dapat mengumpulkan informasi tambahan tentang penginstalan Docker menggunakan perintah berikut:
docker info
Layanan Docker dapat dinonaktifkan secara default. Untuk memeriksa apakah ekstensi ini dinonaktifkan, jalankan perintah berikut:
systemctl is-enabled docker
Untuk mengaktifkan layanan Docker dan segera memulainya, jalankan salah satu perintah berikut:
sudo systemctl enable --now docker
sudo systemctl enable /usr/lib/systemd/system/docker.service
Output:
Created symlink /etc/systemd/system/multi-user.target.wants/docker.service → /lib/systemd/system/docker.serviceSaat Anda memulai penerusan, jalankan perintah berikut untuk menetapkan penerusan tersebut agar memulai ulang otomatis:
sudo docker run --restart=always `IMAGE_NAME`
IMAGE_NAMEadalah nama image penerus.Untuk memeriksa status dan detail layanan Docker, jalankan perintah berikut:
sudo systemctl status docker
Output:
● docker.service - Docker Application Container Engine Loaded: loaded (/lib/systemd/system/docker.service; enabled; vendor preset: enabled) Active: active (running) since Sat 2020-07-18 11:14:05 UTC; 15s ago TriggeredBy: ● docker.socket Docs: https://docs.docker.com Main PID: 263 (dockerd) Tasks: 20 Memory: 100.4M CGroup: /system.slice/docker.service └─263 /usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock Jul 18 11:14:05 swarm-kraken dockerd[263]: time="2020-07-18T11:14:05.713787002Z" level=info msg="API listen on /run/docker.sock" Jul 18 11:14:05 swarm-kraken systemd[1]: Started Docker Application Container EngineJika terjadi masalah pada Docker, tim dukungan Chronicle dapat meminta output dari perintah ini untuk membantu dan melakukan debug terkait masalah tersebut.
Menginstal forwarder di Linux
Bagian ini menjelaskan cara menginstal Chronicle Forwarder menggunakan container Docker di sistem Linux.
Langkah 1. Download, transfer, dan instal file konfigurasi penerus
Chronicle menyediakan file konfigurasi forwarder khusus untuk sistem operasi Anda (Linux atau Windows). Anda dapat mendownload file konfigurasi sesuai kebutuhan. Setelah menyelesaikan langkah-langkah berikut, transfer file konfigurasi dari laptop Anda ke direktori /opt/chronicle/config forwarder dalam direktori utama pengguna.
Hubungkan ke host forwarder Linux melalui terminal.
Buat pengguna baru di host penerusan Linux.
adduser
USERNAMEpasswdUSERNAMEusermod -aG wheelUSERNAMEUbah direktori ke direktori utama pengguna baru yang menjalankan Container Docker.
Buat direktori untuk menyimpan file konfigurasi penerus Chronicle:
mkdir /opt/chronicle/config
Ubah direktori.
cd /opt/chronicle/config
Setelah file ditransfer, pastikan file konfigurasi berada di direktori /opt/chronicle/config:
ls -l
Langkah 2. Menjalankan forwarder dalam container Docker
Anda dapat menggunakan prosedur berikut untuk memulai penerusan Chronicle untuk pertama kalinya serta mengupgrade ke penampung Chronicle ke versi terbaru:
Opsi --log-opt telah tersedia sejak Docker
1.13. Opsi ini membatasi ukuran file log container dan harus digunakan selama versi Docker Anda mendukungnya.
Jika Anda melakukan upgrade, mulailah dengan membersihkan semua Docker yang berjalan sebelumnya. Dalam contoh berikut, nama container Docker adalah
cfps. Dapatkan image Docker terbaru dari Google Cloud dengan perintahdocker pullseperti yang ditunjukkan di bawah ini.docker stop cfps
docker rm cfps
Dapatkan image Docker terbaru dari Google Cloud:
docker pull gcr.io/chronicle-container/cf_production_stable
Mulai penerusan Chronicle dari container Docker:
docker run \ --detach \ --name cfps \ --restart=always \ --log-opt max-size=100m \ --log-opt max-file=10 \ --net=host \ -v /opt/chronicle/config:/opt/chronicle/external \ gcr.io/chronicle-container/cf_production_stable
Lihat log penerus
Untuk melihat log penerusan Chronicle, jalankan perintah berikut:
sudo docker logs cfps
Untuk melihat jalur file tempat log disimpan, jalankan perintah berikut:
docker inspect --format='{{.LogPath}}' CONTAINER_NAME
Untuk melihat log yang sedang berjalan, jalankan perintah berikut:
sudo docker logs cfps -f
Untuk menyimpan log ke dalam file, jalankan perintah berikut:
sudo docker logs cfps &> logs.txt
Meng-uninstal forwarder
Perintah Docker berikut membantu Anda menghentikan dan meng-uninstal atau menghapus penerusan Chronicle.
Untuk menghentikan atau meng-uninstal penampung penerusan:
docker stop cfps
Untuk menghapus penampung penerusan:
docker rm cfps
Memperbarui forwarder
Forwarder Chronicle memiliki dua bagian dan diupgrade sebagai berikut:
Paket Forwarder—Diupdate secara otomatis dan tidak perlu memulai ulang.
Image Docker Forwarder—Diupdate secara manual setelah menghentikan forwarder yang ada dan memulai instance baru seperti yang dinyatakan di Langkah 2.
Menginstal penerus di belakang proxy
Bagian ini menjelaskan cara menginstal penerusan Chronicle di belakang proxy.
Konfigurasi mesin Anda untuk menggunakan proxy.
Tambahkan baris berikut ke file
/etc/resolv.confAnda:nameserver = 10.0.0.1 nameserver = 10.0.0.2Tetapkan variabel lingkungan berikut:
$HTTP_PROXY = http://proxy.example.com:80 $HTTPS_PROXY = https://proxy.example.com:80
Mengonfigurasi Docker untuk menggunakan proxy.
Membuat direktori drop-in yang disistem untuk layanan Docker.
mkdir /etc/systemd/system/docker.service.dBuat file
/etc/systemd/system/docker.service.d/http-proxy.confyang menambahkan variabel lingkunganHTTP_PROXYdanHTTPS_PROXY.[Service] Environment="HTTP_PROXY=http://proxy.example.com:80/" Environment="HTTPS_PROXY=https://proxy.example.com:80/"Hapus perubahan.
$ sudo systemctl daemon-reloadPastikan konfigurasi telah dimuat.
$ sudo systemctl show --property Environment docker Environment=HTTP_PROXY=http://proxy.example.com:80/ Environment=HTTPS_PROXY=https://proxy.example.com:80/Mulai ulang Docker.
$ sudo systemctl restart docker
Dapatkan image Docker Forwarder Chronicle terbaru dari Google Cloud.
docker pull gcr.io/chronicle-container/cf_production_stableJalankan penampung penerusan Chronicle dengan menambahkan variabel lingkungan proxy.
docker run \ --env HTTP_PROXY="http://proxy.example.com:80/" \ --env HTTPS_PROXY="https://proxy.example.com:80/" \ --detach \ --name cfps \ --restart=always \ --log-opt max-size=100m \ --log-opt max-file=10 \ --net=host \ -v /opt/chronicle/config:/opt/chronicle/external \ gcr.io/chronicle-container/cf_production_stable
Mengumpulkan data
Bagian berikut membantu Anda mengonfigurasi forwarder Chronicle untuk menyerap berbagai jenis data, yang akan diteruskan ke instance Chronicle.
Mengumpulkan data Splunk
Anda dapat mengonfigurasi forwarder Chronicle untuk meneruskan data Splunk ke Chronicle. Google Cloud mengonfigurasi Forwarder Chronicle dengan informasi berikut untuk meneruskan data Anda dari Splunk:
URL untuk Splunk REST API (misalnya, https://10.0.113.15:8089).
Kueri Splunk untuk menghasilkan data bagi setiap jenis data yang diperlukan (misalnya, index=dns).
FORWARDER_NAME.conf
output:
collectors:
- splunk:
common:
enabled: true
data_type: WINDOWS_DNS
data_hint: "#fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto trans_id query qclass qclass_name"
batch_n_seconds: 10
batch_n_bytes: 819200
url: https://127.0.0.1:8089
is_ignore_cert: true
minimum_window_size: 10s
maximum_window_size: 30s
query_string: search index=* sourcetype=dns
query_mode: realtime
- Buat kredensial akun Splunk Anda tersedia untuk Chronicle
forwarder. Anda dapat melakukannya dengan membuat file
creds.txt.
Untuk menggunakan file creds.txt:
Buat file lokal untuk kredensial Splunk Anda, lalu beri nama
creds.txt.Letakkan nama pengguna Anda di baris pertama dan sandi di baris kedua:
cat creds.txt myusername mypassword
Untuk menggunakan penerusan Chronicle guna mengakses instance Splunk, salin file
creds.txtke direktori konfigurasi (direktori yang sama tempat file konfigurasi berada). Contoh:cp creds.txt /opt/chronicle/config/creds.txt
Pastikan file
creds.txtberada di lokasi yang tepat:ls /opt/chronicle/config
Mengumpulkan data syslog
Forwarder Chronicle dapat berfungsi sebagai server Syslog. Anda dapat mengonfigurasi alat atau server apa pun yang mendukung pengiriman data syslog melalui koneksi TCP atau UDP untuk meneruskan datanya ke forwarder Chronicle. Anda dapat mengontrol data persis yang dikirimkan perangkat atau server ke Forwarder Chronicle. Forwarder Chronicle kemudian dapat meneruskan data tersebut ke Chronicle.
File konfigurasi FORWARDER_NAME.conf (disediakan oleh Google Cloud) menentukan port yang akan dipantau untuk setiap jenis data yang diteruskan (misalnya, port 10514). Secara default, penerusan Chronicle
menerima koneksi TCP dan UDP.
Mengonfigurasi rsyslog
Untuk mengonfigurasi rsyslog, Anda perlu menentukan target untuk setiap port (misalnya, setiap jenis data). Lihat dokumentasi sistem Anda untuk mengetahui sintaksis yang benar. Contoh berikut mengilustrasikan konfigurasi target rsyslog:
Traffic log TCP:
dns.* @@192.168.0.12:10514Traffic log UDP:
dns.* @192.168.0.12:10514
Mengaktifkan TLS untuk konfigurasi syslog
Anda dapat mengaktifkan TLS untuk koneksi Syslog ke
penerbit Chronicle. Di file konfigurasi forwarder Chronicle
(FORWARDER_NAME.conf), tentukan lokasi sertifikat dan kunci sertifikat
yang dihasilkan sendiri seperti yang ditunjukkan pada contoh berikut:
| sertifikat | "/opt/chronicle/external/certs/client_generated_cert.pem" |
| certificate_key | "/opt/chronicle/external/certs/client_generated_cert.key" |
Berdasarkan contoh yang ditampilkan, ubah file konfigurasi
penerus Chronicle (FORWARDER_NAME.conf) sebagai berikut:
collectors:
- syslog:
common:
enabled: true
data_type: WINDOWS_DNS
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
tcp_address: 0.0.0.0:10515
tcp_buffer_size: 65536
connection_timeout_sec: 60
certificate: "/opt/chronicle/external/certs/client_generated_cert.pem"
certificate_key: "/opt/chronicle/external/certs/client_generated_cert.key"
minimum_tls_version: "TLSv1_3"
Beberapa poin penting yang perlu diperhatikan:
Anda dapat mengonfigurasi ukuran buffer TCP. Ukuran buffer TCP default adalah 64 KB.
Nilai default dan yang direkomendasikan untuk connection_timeout adalah 60 detik. Koneksi TCP dihentikan jika koneksi tidak aktif selama jangka waktu tertentu.
Versi TLS minimum akan dibandingkan dengan versi TLS permintaan input. Versi TLS permintaan input harus lebih besar dari versi TLS minimum. Versi TLS minimum harus berupa salah satu nilai berikut: TLSv1_0, TLSv1_1, TLSv1_2, TLSv1_3.
Anda dapat membuat direktori sertifikat di bawah direktori konfigurasi dan menyimpan file sertifikat di sana.
Mengumpulkan data file
Pengumpul file dirancang untuk mengambil log dari file. File tersebut harus terikat dengan container Docker.
Gunakan ini jika Anda ingin mengupload log secara manual dari satu file log. Fungsi ini dapat digunakan untuk mengisi ulang log untuk file log tertentu.
Mulai penerusan Chronicle dari container Docker:
docker run \
--name cfps \
--log-opt max-size=100m \
--log-opt max-file=10 \
--net=host \
-v /opt/chronicle/config:/opt/chronicle/external \
-v /var/log/crowdstrike/falconhostclient:/opt/chronicle/edr \
gcr.io/chronicle-container/cf_production_stable
Perintah Docker run ini sangat penting untuk memetakan volume pemuatan ke container.
Berdasarkan contoh ini, Anda harus mengubah konfigurasi penerus Chronicle (file FORWARDER_NAME.conf) sebagai berikut.
File sample.txt harus ada di
folder /var/log/crowdstrike/falconhostclient.
collectors:
- file:
common:
enabled: true
data_type: CS_EDR
data_hint:
batch_n_seconds: 10
batch_n_bytes: 1048576
file_path: /opt/chronicle/edr/sample.txt
filter:
Konfigurasi flag
skip_seek_to_end (bool): Flag ini disetel ke false secara default dan input
file hanya mengirimkan baris log baru sebagai input. Menetapkan ini ke true akan menyebabkan semua baris log sebelumnya dikirim lagi saat penerusan mulai ulang. Hal ini menyebabkan duplikasi
log. Menetapkan flag ini ke true akan sangat membantu dalam situasi tertentu (misalnya, selama pemadaman layanan), karena memulai ulang forwarder akan mengirimkan lagi baris log yang tidak ada.
poll (bool): Pengumpul file menggunakan library Tail untuk memeriksa perubahan apa pun dalam
sistem file. Dengan menyetel tanda ini ke true, library Tail akan menggunakan metode
polling, bukan metode notifikasi default.
Mengumpulkan data paket
Forwarder Chronicle dapat menangkap paket langsung dari antarmuka jaringan menggunakan libcap di Linux. Untuk informasi lebih lanjut tentang libcap, lihat libcap - halaman manual Linux.
Paket diambil dan dikirim ke Chronicle, bukan entri log. Pengambilan paket hanya ditangani dari antarmuka lokal. Guna mengaktifkan pengambilan paket untuk sistem Anda, hubungi dukungan Chronicle.
Google Cloud mengonfigurasi Forwarder Chronicle dengan ekspresi Filter Paket Berkeley (BPF) yang digunakan saat mengambil paket (misalnya, port 53 dan bukan localhost). Untuk mengetahui informasi selengkapnya, lihat Filter paket Berkeley.
Mengumpulkan data dari topik Kafka
Anda dapat menyerap data dari topik Kafka seperti yang dapat Anda lakukan dari syslog. Grup konsumen dimanfaatkan untuk memungkinkan Anda men-deploy hingga 3 Forwarder dan menarik data dari topik Kafka yang sama. Untuk informasi selengkapnya, lihat Kafka.
Untuk informasi selengkapnya tentang grup konsumen Kafka, lihat artikel berikut: https://docs.confluent.io/platform/current/clients/consumer.html
Contoh konfigurasi: Input Kafka
Konfigurasi forwarder berikut menunjukkan cara menyiapkan forwarder untuk menyerap data dari topik Kafka.
File FORWARDER_NAME.conf
collectors:
- kafka:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
topic: example-topic
group_id: chronicle-forwarder
timeout: 60s
brokers: ["broker-1:9092", "broker-2:9093"]
tls:
insecureSkipVerify: true
certificate: "/path/to/cert.pem"
certificate_key: "/path/to/cert.key"
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
File FORWARDER_NAME_auth.conf
collectors:
- kafka:
username: user
password: password
- syslog:
Mengumpulkan data WebProxy
Forwarder Chronicle dapat mengambil data WebProxy langsung dari antarmuka jaringan menggunakan libcap di Linux. Untuk informasi lebih lanjut tentang libcap, lihat libcap - halaman manual Linux. Untuk mengaktifkan pengambilan data WebProxy untuk sistem Anda, hubungi Chronicle Support.
Ubah konfigurasi penerusan Chronicle (file FORWARDER_NAME.conf) sebagai berikut:
- webproxy:
common:
enabled : true
data_type: <Your LogType>
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: any
bpf: tcp and dst port 80
Menyesuaikan konfigurasi
Tabel berikut mencantumkan parameter penting yang digunakan dalam file konfigurasi penerusan.
| Parameter | Deskripsi |
|---|---|
| data_type | Jenis data log yang dapat dikumpulkan dan diproses oleh kolektor. |
| metadata | Metadata, yang menggantikan metadata global. |
| max_file_buffer_bytes | Jumlah maksimum byte yang dapat diakumulasi dalam buffer file atau disk. Nilai defaultnya adalah 1073741824, yaitu 1 GB. |
| max_memory_buffer_bytes | Jumlah byte maksimum yang dapat diakumulasi dalam buffer memori. Nilai
defaultnya adalah 1073741824, yaitu 1 GB. |
| write_to_disk_dir_path | Jalur yang akan digunakan untuk buffer file atau disk. |
| write_to_disk_buffer_enabled | Jika true, buffer disk akan digunakan, bukan buffer memori. Nilai defaultnya adalah false.
|
| batch_n_bytes | Jumlah maksimum byte yang dapat diakumulasikan oleh kolektor setelah data dikelompokkan dalam batch. Nilai defaultnya adalah 1048576, yaitu
1 MB. |
| batch_n_seconds | Jumlah detik setelah data yang dikumpulkan oleh kolektor dikelompokkan. Nilai defaultnya adalah 11 detik. |
| data_hint | Format data yang dapat diterima kolektor (biasanya header file log yang menjelaskan format). |
Untuk mengetahui daftar lengkap parameter yang digunakan dalam file konfigurasi, lihat Kolom konfigurasi Forwarder dan Kolom konfigurasi kolektor.
Aktifkan/nonaktifkan kompresi data
Kompresi log mengurangi penggunaan bandwidth jaringan saat mentransfer log ke Chronicle. Namun, kompresi dapat menyebabkan peningkatan penggunaan CPU. Kompromi antara penggunaan CPU dan bandwidth bergantung pada banyak faktor, termasuk jenis data log, kompresi data, ketersediaan siklus CPU pada host yang menjalankan forwarder, dan kebutuhan untuk mengurangi konsumsi bandwidth jaringan.
Misalnya, log berbasis teks dikompresi dengan baik dan dapat menghemat bandwidth yang signifikan dengan penggunaan CPU yang rendah. Namun, payload paket mentah terenkripsi tidak dikompresi dengan baik dan menyebabkan penggunaan CPU yang lebih tinggi.
Secara default, kompresi log dinonaktifkan. Mengaktifkan kompresi log dapat mengurangi pemakaian bandwidth. Namun, mengaktifkan kompresi log juga dapat meningkatkan penggunaan CPU. Perhatikan konsekuensinya.
Untuk mengaktifkan kompresi log, tetapkan kolom compression ke true dalam file konfigurasi forwarder Chronicle seperti yang ditunjukkan dalam contoh berikut:
File FORWARDER_NAME.conf
output:
compression: true
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7cb5c1
customer_id: ebdc4bb9-878b-11e7-8455-10604b7cb5c1
...
File FORWARDER_NAME_auth.conf
output:
identity:
secret_key: |
{
"type": "service_account",
...
}
Mengonfigurasi buffering disk
Dengan buffering disk, Anda dapat mem-buffer pesan yang di-backlog ke disk, bukan memori. Pesan yang di-backlog dapat disimpan jika forwarder mengalami error atau host yang mendasarinya mengalami error. Perlu diketahui bahwa mengaktifkan buffering disk dapat memengaruhi performa.
Jika buffering disk dinonaktifkan, forwarder akan menggunakan memori (RAM) sebesar 1 GB untuk setiap jenis log (misalnya, per konektor). Tentukan parameter konfigurasi max_memory_buffer_bytes. Memori maksimum yang diizinkan adalah 4 GB.
Anda dapat mengonfigurasi buffering memori otomatis untuk menggunakan buffer yang dibagikan secara dinamis dengan seluruh kolektor, yang menangani lonjakan traffic secara lebih baik. Untuk mengaktifkan buffer bersama secara dinamis, tambahkan baris berikut dalam konfigurasi penerusan Anda:
auto_buffer: enabled: true target_memory_utilization: 80
Jika buffering disk otomatis diaktifkan, tetapi
target_memory_utilization tidak ditentukan, nilai default
70 akan digunakan.
Jika Anda menjalankan forwarder menggunakan Docker, Google merekomendasikan untuk memasang volume yang terpisah dari volume konfigurasi untuk tujuan isolasi. Selain itu, setiap input harus diisolasi dengan direktori atau volumenya sendiri untuk menghindari konflik.
Contoh konfigurasi: buffering disk
Konfigurasi berikut mencakup sintaksis untuk mengaktifkan buffering disk:
collectors:
- syslog:
common:
write_to_disk_buffer_enabled: true
# /buffers/NIX_SYSTEM is part of the external mounted volume for the
forwarder
write_to_disk_dir_path: /buffers/NIX_SYSTEM
max_file_buffer_bytes: 1073741824
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Menyetel filter ekspresi reguler
Filter ekspresi reguler memungkinkan Anda memfilter log berdasarkan kecocokan ekspresi reguler dengan log mentah.
Filter menggunakan sintaksis RE2 yang dijelaskan di sini: https://github.com/google/re2/wiki/Syntax
Filter harus menyertakan ekspresi reguler dan, secara opsional, menentukan perilaku jika ada kecocokan. Perilaku default pada kecocokan adalah blok (Anda juga dapat mengonfigurasinya secara eksplisit sebagai blok).
Atau, Anda dapat menentukan filter dengan perilaku allow. Jika Anda menentukan filter allow, forwarder akan memblokir semua log yang tidak cocok dengan setidaknya satu filter allow.
Anda dapat menentukan jumlah filter yang arbitrer. Filter blok lebih diutamakan daripada filter allow.
Saat filter ditentukan, filter harus diberi nama. Nama filter aktif akan dilaporkan ke Chronicle melalui metrik kondisi Forwarder. Filter yang ditentukan pada root konfigurasi digabungkan dengan filter yang ditentukan pada tingkat kolektor. Filter tingkat kolektor akan diprioritaskan jika ada nama yang bertentangan. Jika tidak ada filter yang ditentukan di tingkat root atau kolektor, perilakunya adalah mengizinkan semua.
Contoh konfigurasi: filter ekspresi reguler
Pada konfigurasi Forwarder berikut, log WINEVTLOG yang tidak cocok dengan filter root (allow_filter) akan diblokir. Dengan mempertimbangkan ekspresi reguler, filter hanya mengizinkan log dengan prioritas antara 0 dan 99.
Namun, log NIX_SYSTEM yang berisi 'foo' atau 'bar' akan diblokir, meskipun allow_filter. Hal ini karena filter menggunakan OR yang logis. Semua
log diproses hingga filter dipicu.
regex_filters:
allow_filter:
regexp: ^<[1-9][0-9]?$>.*$
behavior_on_match: allow
collectors:
- syslog:
common:
regex_filters:
block_filter_1:
regexp: ^.*foo.*$
behavior_on_match: block
block_filter_2:
regexp: ^.*bar.*$
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Mengonfigurasi label arbitrer
Label digunakan untuk melampirkan metadata arbitrer ke log menggunakan pasangan kunci dan nilai. Label dapat dikonfigurasi untuk seluruh forwarder atau dalam kolektor spesifik dari suatu penerusan. Jika keduanya disediakan, label akan digabungkan dengan kunci kolektor yang lebih diutamakan daripada kunci penerusan jika kunci tersebut tumpang-tindih.
Contoh konfigurasi: label arbitrer
Dalam konfigurasi forwarder berikut, pasangan kunci dan nilai 'foo=bar' dan 'meow=mix' dilampirkan ke log WINEVTLOG, dan pasangan kunci dan nilai 'foo=baz' dan 'meow=mix' dilampirkan ke log NIX_SYSTEM.
metadata:
labels:
foo: bar
meow: mix
collectors:
syslog:
common:
metadata:
labels:
foo: baz
meow: mix
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Mengonfigurasi namespace
Gunakan label namespace untuk mengidentifikasi log dari segmen jaringan yang berbeda dan mencabut konflik alamat IP yang tumpang-tindih. Anda dapat mengonfigurasi label namespace untuk seluruh forwarder atau dalam kolektor penerusan tertentu. Jika keduanya disertakan, namespace kolektor tertentu akan lebih diprioritaskan.
Setiap namespace yang dikonfigurasi untuk penerus akan muncul dengan aset terkait di antarmuka pengguna Chronicle. Anda juga dapat menelusuri namespace menggunakan fitur Chronicle Search.
Untuk mengetahui informasi tentang cara melihat namespace di antarmuka pengguna Chronicle, lihat di sini.
Contoh konfigurasi: namespace
Dalam konfigurasi penerusan berikut, log WINEVTLOG dilampirkan ke namespace FORWARDER dan log NIX_SYSTEM dilampirkan ke namespace CORPORATE.
metadata:
namespace: FORWARDER
collectors:
- syslog:
common:
metadata:
namespace: CORPORATE
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
Mengonfigurasi opsi load balancing dan ketersediaan tinggi
Forwarder Chronicle untuk Linux dapat di-deploy di lingkungan tempat load balancer Lapisan 4 diinstal antara sumber data dan instance penerus. Dengan begitu, pelanggan dapat mendistribusikan kumpulan log ke beberapa penerus atau mengirim log ke penerusan yang berbeda jika ada yang gagal. Fitur ini hanya didukung dengan jenis koleksi syslog.
Forwarder Linux menyertakan server HTTP bawaan yang merespons health check HTTP dari load balancer. Server HTTP juga membantu memastikan bahwa log tidak hilang selama startup atau penghentian forwarder.
Konfigurasikan opsi server HTTP, load balancing, dan ketersediaan tinggi di bagian server pada file konfigurasi forwarder. Opsi ini mendukung penyetelan durasi waktu tunggu dan kode status yang ditampilkan sebagai respons terhadap health check yang diterima di deployment berbasis orkestrasi dan penjadwal container, serta dari load balancer tradisional.
Gunakan jalur URL berikut untuk pemeriksaan respons, kesiapan, dan keaktifan.
Nilai <host:port> ditentukan dalam konfigurasi penerusan.
- http://
<host:port>/meta/available: pemeriksaan keaktifan untuk penjadwal atau orkestrasi container. - http://
<host:port>/meta/siap: pemeriksaan kesiapan dan health check load balancer tradisional.
Konfigurasi forwarder berikut adalah contoh untuk load balancing dan ketersediaan tinggi:
collectors:
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: NIX_SYSTEM
enabled: true
tcp_address: 0.0.0.0:30000
connection_timeout_sec: 60
- syslog:
common:
batch_n_bytes: 1048576
batch_n_seconds: 10
data_hint: null
data_type: WINEVTLOG
enabled: true
tcp_address: 0.0.0.0:30001
connection_timeout_sec: 60
server:
graceful_timeout: 15s
drain_timeout: 10s
http:
port: 8080
host: 0.0.0.0
read_timeout: 3s
read_header_timeout: 3s
write_timeout: 3s
idle_timeout: 3s
routes:
- meta:
available_status: 204
ready_status: 204
unready_status: 503
| Jalur konfigurasi | Deskripsi |
|---|---|
| server: {i>graceful_timeout<i} | Lamanya waktu penerusan menampilkan kesiapan/health check yang buruk dan masih menerima koneksi baru. Ini juga saatnya menunggu antara menerima sinyal untuk berhenti dan benar-benar memulai penonaktifan server itu sendiri. Hal ini memberi waktu pada load balancer untuk menghapus forwarder dari kumpulan. |
| server : drain_timeout | Lamanya waktu saat penerusan ini menunggu koneksi aktif berhasil ditutup sendiri sebelum ditutup oleh server. |
| server : http : port | Nomor port yang diproses oleh server HTTP untuk health check dari load balancer. Harus antara 1024-65535. |
| server : http : host | Alamat IP, atau nama host yang dapat di-resolve menjadi alamat IP, yang harus dideteksi server. Jika kosong, nilai defaultnya adalah sistem lokal (0.0.0.0). |
| server : http : read_timeout | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Jumlah waktu maksimum yang diizinkan untuk membaca seluruh permintaan, baik header maupun isi. Anda dapat mengatur read_timeout dan read_header_timeout. |
| server : http : read_header_timeout | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Jumlah waktu maksimum yang diizinkan untuk membaca header permintaan. Batas waktu pembacaan koneksi direset setelah membaca header. |
| server : http : write_timeout | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Durasi maksimum yang diizinkan untuk mengirim respons. Fungsi ini direset saat header permintaan baru dibaca. |
| server : http : idle_timeout | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Jumlah waktu maksimum untuk menunggu permintaan berikutnya saat koneksi tidak ada aktivitas diaktifkan. Jika idle_timeout adalah nol, nilai read_timeout akan digunakan. Jika keduanya nol, read_header_timeout akan digunakan. |
| rute : meta : ready_status | Kode status yang ditampilkan oleh forwarder jika sudah siap menerima traffic dalam salah satu situasi berikut:
|
| rute : meta : unready_status | Kode status yang ditampilkan oleh forwarder jika belum siap menerima traffic. |
| rute : meta : available_status | Kode status yang ditampilkan oleh penerusan saat pemeriksaan keaktifan diterima dan penerusan tersedia. Penjadwal atau orkestrasi container sering mengirim pemeriksaan keaktifan. |
Pertanyaan umum (FAQ)
Bagaimana cara memperbarui alat penerusan saya?
Forwarder Linux terus diupdate melalui skrip shell di image Docker. Untuk mengupdate image Docker, jalankan forwarder.
Apa itu container Docker?
Container Docker mirip seperti virtual machine yang memberikan keamanan, isolasi, dan pengelolaan resource tambahan.
Mesin Virtual—memiliki ruang istimewa (kernel linux) dan ruang pengguna (semua hal yang Anda gunakan untuk berinteraksi: libc, python, ls, tcpdump, dan sebagainya).
Container—hanya memiliki ruang pengguna (semua yang Anda gunakan untuk berinteraksi: libc, python, ls, tcpdump, dan sebagainya) dan mengandalkan ruang hak istimewa host.
Mengapa mendistribusikan penerusan Chronicle menggunakan penampung?
- Keamanan yang lebih baik melalui isolasi:
- Lingkungan dan persyaratan pelanggan tidak memengaruhi Chronicle forwarder.
- Lingkungan dan persyaratan penerus Chronicle tidak memengaruhi pelanggan.
- Mekanisme distribusi container sudah ada serta dapat bersifat pribadi dan terpisah untuk Google Cloud dan pelanggan. https://cloud.google.com/container-registry/
Mengapa hanya Linux untuk container? Bagaimana dengan Windows?
Container dikembangkan untuk Linux terlebih dahulu dan siap digunakan untuk produksi.
Dukungan Windows untuk Container sedang berlangsung. Container tersedia untuk Windows Server 2016 dan Windows 10.
Apakah Anda perlu mempelajari perintah Docker lanjutan?
- Forwarder Chronicle menggunakan satu container, sehingga Anda tidak perlu mempelajari Swarm, orkestrasi, atau konsep atau perintah Docker tingkat lanjut lainnya.