Forwarder Management API
Google Security Operations Forwarde Management API を使用すると、次のことをプログラムで行うことができます。
- フォワーダーの作成と管理。
- コレクタの作成と管理。
- Google Security Operations フォワーダーの構成(
.conf)ファイルと認証(_auth.conf)ファイルのファイルの内容を取得。
フォワーダーは、1 つ以上のコレクタで構成されます。各コレクタの構成では、取り込みメカニズム(ファイル、Kafka、PCAP、Splunk、Syslog など)とログタイプを指定します。
ハードウェアの要件が満たされていれば、同じフォワーダー上に多くのコレクタを使用して、さまざまなメカニズムやログタイプからデータを取り込むことができます。たとえば、PAN_FIREWALL と CISCO_ASA_FIREWALL のデータをそれぞれリッスンする 2 つの syslog コレクタを持つフォワーダーを、別々のポートにインストールできます。
この API を使用すると、Google Security Operations インスタンスにフォワーダーとそのコレクタを作成できます。フォワーダーを作成したら、Generate Forwarder Files エンドポイントを使用して、フォワーダーの構成(.conf)と認証(_auth.conf)ファイルのファイルの内容を(JSON ペイロードとして)取得できます。これらの内容は、それぞれの .conf ファイルに書き込んで、Google Security Operations Forwarder サービスで Windows または Linux システムにデプロイできます。
Forwarder Management API を使用する Python サンプルについては、GitHub リポジトリをご覧ください。
フォワーダーとそのコレクタを作成する
フォワーダーは、コレクタの作成前に作成する必要があります。
フォワーダーとそのコレクタを作成するには:
- フォワーダーを作成する。
- フォワーダーのコレクタを作成します。
- (省略可)手順 2 を繰り返して、さらにコレクタを追加します。
Google Security Operations API[:#authenticate] で認証する方法
この Google Security Operations API は、認証と認可に OAuth 2.0 プロトコルを使用します。作成するアプリケーションでは、次のいずれかを実装して認証と認可を行うことができます。
使用するコンピュータ言語用の Google API クライアント ライブラリを利用する。
HTTP を使用して OAuth 2.0 システムと直接やり取りする。
Python の Google 認証ライブラリについては、リファレンス ドキュメントをご覧ください。
Google 認証ライブラリは Google API クライアント ライブラリのサブセットです。その他の言語の実装をご覧ください。
API 認証情報の取得
Google Security Operations の担当者から、API クライアントが API と通信できるように Google Developers サービス アカウント認証情報が提供されます。
また、API クライアントを初期化するときに認証スコープを指定する必要があります。OAuth 2.0 は、スコープを使用してアカウントに対するアプリケーションのアクセスを制限します。アプリケーションがスコープをリクエストした場合、そのアプリケーションに発行されたアクセス トークンは与えられたスコープに制限されます。
次のスコープを使用して Google API クライアントを初期化します。
https://www.googleapis.com/auth/chronicle-backstory
Python の例
次の Python の例は、google.oauth2 と googleapiclient を使用して OAuth2 認証情報と HTTP クライアントを使用する方法を示しています。
# Imports required for the sample - Google Auth and API Client Library Imports.
# Get these packages from https://pypi.org/project/google-api-python-client/ or run $ pip
# install google-api-python-client from your terminal
from google.oauth2 import service_account
from googleapiclient import _auth
SCOPES = ['https://www.googleapis.com/auth/chronicle-backstory']
# The apikeys-demo.json file contains the customer's OAuth 2 credentials.
# SERVICE_ACCOUNT_FILE is the full path to the apikeys-demo.json file
# ToDo: Replace this with the full path to your OAuth2 credentials
SERVICE_ACCOUNT_FILE = '/customer-keys/apikeys-demo.json'
# Create a credential using Google Developer Service Account Credential and Google Security Operations API
# Scope.
credentials = service_account.Credentials.from_service_account_file(SERVICE_ACCOUNT_FILE, scopes=SCOPES)
# Build an HTTP client to make authorized OAuth requests.
http_client = _auth.authorized_http(credentials)
# <your code continues here>
Chronicle API のクエリの上限
Chronicle API では、お客様が Google Security Operations プラットフォームに対して実行できるリクエスト数に上限があります。クエリの上限に達した場合、または上限を超えた場合、Chronicle API サーバーは HTTP 429(RESOURCE_EXHAUSTED)を呼び出し元に返します。Chronicle API 用のアプリケーションを開発する場合、リソースの不足を避けるため、システム内でレート制限を適用することをおすすめします。これらの上限は、Search API、Forwarder Management API、Tooling API を含む、すべての Chronicle API に適用されます。
Chronicle のフォワーダー管理 API の次の上限が適用され、1 秒あたりのクエリ数(QPS)で測定されます。
| Chronicle API | API エンドポイント | 上限 |
| フォワーダー管理 | フォワーダーを作成する | 1 QPS |
| フォワーダーの取得 | 1 QPS | |
| フォワーダーの一覧表示 | 1 QPS | |
| フォワーダーの更新 | 1 QPS | |
| フォワーダーの削除 | 1 QPS | |
| コレクタの管理 | コレクタの作成 | 1 QPS |
| コレクタの取得 | 1 QPS | |
| コレクタの一覧表示 | 1 QPS | |
| コレクタの更新 | 1 QPS | |
| コレクタを削除 | 1 QPS |
フォワーダー API リファレンス
このセクションでは、フォワーダーを作成および管理するためのエンドポイントについて説明します。コレクタを作成および管理するためのエンドポイントについては、Collector API のリファレンスをご覧ください。
フォワーダーの作成
Google SecOps インスタンスに新しいフォワーダーを作成します。新しいフォワーダーには、リクエスト本文で指定されたフォワーダー構成値が含まれます。コレクタの構成値は、Create Forwarder の使用後に、Create Collector を使用して指定する必要があります。
一部の設定では、リクエスト本文に欠損値やゼロ値が設定されている構成値はデフォルト値に設定されています。フォワーダー フィールドと値の詳細については、フォワーダー構成フィールドをご覧ください。
リクエスト
POST https://backstory.googleapis.com/v2/forwarders
リクエストの本文
{
"display_name": string,
"config": {
object (ForwarderConfig)
}
}
本文のパラメータ
| フィールド | 型 | 必須 | Description |
|---|---|---|---|
| display_name | 文字列 | 必須 | フォワーダーの名前。この名前は Google SecOps インターフェースに表示されます。 |
| 構成 | オブジェクト | 省略可 | このフォワーダーの構成設定。フォワーダー構成フィールドをご覧ください。 |
リクエストの例
次の例は、フォワーダー リクエストの作成で必要な Key-Value ペアを示しています。リクエストでフィールドが指定されておらずデフォルト値がある場合は、フォワーダーの作成時にデフォルト値が適用されます。デフォルト値の詳細については、フォワーダー構成フィールドをご覧ください。
POST https://backstory.googleapis.com/v2/forwarders
{
"display_name": "chronicle_forwarder"
}
レスポンス
リクエストが成功すると、HTTP ステータス コード 200(OK)が返されます。
レスポンスには、フォワーダーの作成中に適用された構成値が表示されます。特定の構成がリクエストの本文で欠落しているか、ゼロ値である場合、デフォルト構成の値はリソース作成時に適用されます。詳細については、フォワーダーの構成フィールドをご覧ください。
レスポンスのフィールド
リクエストで指定されたフィールドとデフォルト値が適用されるフィールドに加えて、レスポンスには生成された次の出力フィールドと出力専用フィールドが含まれます。
| フィールド | 型 | Description |
|---|---|---|
| name | 文字列 | フォワーダーのリソース ID。形式は「forwarders/forwarderID」です。例: forwarders/12ab3cd4-56ef-7ghi-j89k-1l23m4nopq56 |
| 使って | enum | フォワーダーの現在の状態を指定します。指定できる値は次のとおりです。
デフォルト値は ACTIVE です。 |
レスポンスの例
これは、上記のリクエストの例に対して返されるレスポンスの例です。
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
"displayName": "chronicle_forwarder",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
"drainTimeout": 10,
"httpSettings": {
"port": "8080",
"host": "0.0.0.0",
"readTimeout": "3",
"readHeaderTimeout": "3",
"writeTimeout": "3",
"idleTimeout": "3"
"routeSettings": {
"availableStatusCode": "204",
"readyStatusCode": "204",
"unreadyStatusCode": "503"
},
},
},
},
"state": "ACTIVE"
}
フォワーダーの取得
フォワーダーを返します。
リクエスト
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}
リクエストの本文
リクエスト本文は含めないでください。
リクエストの例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56
レスポンスの例
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
"displayName": "chronicle_forwarder",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
"drainTimeout": 10,
"httpSettings": {
"port": "8080",
"host": "0.0.0.0",
"readTimeout": "3",
"readHeaderTimeout": "3",
"writeTimeout": "3",
"idleTimeout": "3"
"routeSettings": {
"availableStatusCode": "204",
"readyStatusCode": "204",
"unreadyStatusCode": "503"
},
},
},
},
"state": "ACTIVE"
}
フォワーダーの一覧表示
Google SecOps インスタンスのすべてのフォワーダーを一覧表示します。
リクエスト
GET https://backstory.googleapis.com/v2/forwarders
リクエストの例
GET https://backstory.googleapis.com/v2/forwarders
レスポンス
フォワーダーのリストを返します。
レスポンスの例
{
"forwarders": [
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
"displayName": "chronicle_forwarder_1",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
...
},
},
"state": "ACTIVE"
},
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde57",
"displayName": "chronicle_forwarder_2",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
...
},
},
"state": "ACTIVE"
}
]
}
フォワーダーの更新
フォワーダーを更新するには、updateMask URL クエリ パラメータを使用して、更新するフィールドを指定します。
たとえば、表示名を更新するには、パッチ リクエストで次のように updateMask クエリ パラメータを使用します。
?updateMask=displayName
リクエスト本文には、更新するフィールド(正確なロケーション)のみを含める必要があります。
リクエスト
PATCH https://backstory.googleapis.com/v2/forwarders/{forwarderID}?updateMask=<field_1,field_2>
リクエストの本文
{
"display_name": string,
"config": {
object (ForwarderConfig)
},
}
本文のパラメータ
| フィールド | 型 | 必須 | Description |
|---|---|---|---|
| display_name | 文字列 | 必須 | フォワーダーの名前。この名前は Google SecOps インターフェースに表示されます。 |
| 構成 | オブジェクト | 省略可 | このフォワーダーの構成設定。フォワーダー構成フィールドをご覧ください。 |
リクエストの例
これは、リクエストが displayName に新しい値を指定し、メタデータ ラベルを追加する Update Forwarder リクエストの例です。
PATCH https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56?updateMask=displayName,config.metadata.labels
{
"display_name": "UpdatedForwarder",
"config": {
"metadata": {
"labels": [
{
"key": "office",
"value": "corporate",
}
]
}
}
}
レスポンスの例
これは、上記のリクエストの例に対して返されるレスポンスの例です。
{
"name": "forwarders/{forwarderUUID}",
"displayName": "UpdatedForwarder",
"config": {
"uploadCompression": "false",
"metadata": {
"labels": [
{
"key": "office",
"value": "corporate"
}
]
}
},
"state": "ACTIVE"
}
フォワーダーの削除
フォワーダーを削除します。
リクエスト
DELETE https://backstory.googleapis.com/v2/forwarders/{forwarderID}
リクエストの本文
リクエスト本文は含めないでください。
リクエストの例
DELETE https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56
レスポンスの例
オペレーションが成功すると、Delete Forwarder は HTTP ステータス コード 200(OK)の空のレスポンスを返します。
{}
フォワーダー ファイルを生成する
フォワーダーの構成ファイル(.conf)と認証(_auth.conf)ファイルの内容を生成して返します。
リクエスト
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}:generateForwarderFiles
リクエストの本文
リクエスト本文は含めないでください。
リクエストの例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56:generateForwarderFiles
レスポンスの例
オペレーションが成功すると、HTTP ステータス コード 200(OK)が返されます。また、フォワーダーのコレクタの構成データと、Google SecOps インスタンスで認証するためにフォワーダーで使用される認証(_auth.conf)ファイルなど、フォワーダー構成ファイルの内容も返されます。
フォワーダー構成フィールド
次の表に、Create Forwarder と Update Forwarder を使用して指定できるフォワーダー構成設定を示します。Create Forwarder を使用するときに設定の値を指定しないと、設定のデフォルト値が適用されます(下記参照)。
リクエスト本文の config オブジェクトに次のフィールドを指定できます。
| フィールド | 型 | 必須 | Description |
|---|---|---|---|
| アップロード圧縮 | bool | 省略可 | true の場合、データのバッチはアップロード前に圧縮されます。デフォルトは falseです。 |
| metadata.asset_namespace | 文字列 | 省略可 | このフォワーダーからログを識別するための名前空間。 注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。詳細については、名前空間を構成するをご覧ください。 |
| metadata.labels | リスト | 省略可 | フォワーダー構成で指定できる任意の Key-Value ペアのリスト。 注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。 |
| metadata.labels.key | 文字列 | 省略可 | メタデータ ラベル リストのフィールドのキー。 |
| metadata.labels.value | 文字列 | 省略可 | メタデータ ラベル フィールドの値。 |
| regex_filters.description | 文字列 | 省略可 | フィルタの対象とその理由について説明します。 |
| regex_filters.regexp | 文字列 | 省略可 | 各受信行を照合するために使用される正規表現。 |
| regex_filters.Behavior | enum | 省略可 | サーバー機能の状態を指定します。指定できる値は次のとおりです。
|
| server_settings | オブジェクト | 省略可 | フォワーダーの組み込み HTTP サーバーを構成する設定。このサーバーは、Linux 上の syslog コレクション用に負荷分散オプションと高可用性オプションを構成するために使用できます。 |
| server_settings.state | enum | 省略可 | サーバー機能の状態を指定します。指定できる値は次のとおりです。
|
| server_settings.graceful_timeout | 整数 | 省略可 | フォワーダーが不適切な準備やヘルスチェックを返していながら新しい接続を引き続き受け入れるまでの秒数。これは、停止する信号を受信してから実際にサーバー自体のシャットダウンが開始されるまで、待機する時間でもあります。これにより、ロードバランサがプールからフォワーダーを削除する時間を確保できます。 デフォルト値は 15です。 |
| server_settings.drain_timeout | 整数 | 省略可 | アクティブな接続がサーバーによって閉じられる前に、独自に正常に終了するまでフォワーダーが待機する秒数。 デフォルト値は 10です。 |
| server_settings.http_settings.port | 整数 | 省略可 | HTTP サーバーがロードバランサからのヘルスチェックをリッスンするポート番号。1024 ~ 65535 にする必要があります。 デフォルト値は 8080です。 |
| server_settings.http_settings.host | 文字列 | 省略可 | IP アドレス、または、サーバーがリッスンする IP アドレスに解決できるホスト名。 デフォルト値は 0.0.0.0(ローカル システム)です。 |
| server_settings.http_settings.read_timeout | 整数 | 省略可 | リクエスト全体(ヘッダーと本文を含む)を読み取ることができる最大秒数。 デフォルト値は 3です。 |
| server_settings.http_settings.read_header_timeout | 整数 | 省略可 | リクエスト ヘッダーの読み取りを許可する最大秒数。 デフォルト値は 3です。 |
| server_settings.http_settings.write_timeout | 整数 | 省略可 | レスポンスの送信に許可される最大秒数。 デフォルト値は 3です。 |
| server_settings.http_settings.idle_timeout | 整数 | 省略可 | アイドル状態の接続が有効な場合に、次のリクエストを待機する最大秒数。 デフォルト値は 3です。 |
| server_settings.http_settings.route_settings.available_status_code | 整数 | 省略可 | 実行チェックを受信し、フォワーダーが利用可能な場合に返されるステータス コード。 デフォルトは 204です。 |
| server_settings.http_settings.route_settings.ready_status_code | 整数 | 省略可 | フォワーダーがトラフィックを受け入れる準備ができたときに返されるステータス コード。 デフォルトは 204です。 |
| server_settings.http_settings.route_settings.unready_status_code | 整数 | 省略可 | フォワーダーがトラフィックを受け入れる準備ができていない場合に返されるステータス コード。 デフォルトは 503です。 |
Collector API のリファレンス
このセクションでは、コレクタを操作するエンドポイントについて説明します。
コレクタを作成および更新するときは、各コレクタ構成で次の 1 つに対する取り込み設定を指定できます(複数の指定はできません)。
- ログファイルデータ
- Kafka トピック
- パケットデータ(pcap)
- Splunk データ
- syslog データ
フォワーダーを操作するエンドポイントについては、フォワーダー API リファレンスをご覧ください。
コレクタの作成
Google SecOps アカウントに新しいコレクタを作成します。コレクタの構成値は、Create Forwarder の使用後に、Create Collector を使用して指定する必要があります。
一部の設定では、リクエスト本文が欠落している値やゼロ値の構成値はデフォルト値に設定されています。コレクタ構成フィールドと値の詳細については、コレクタの構成フィールドをご覧ください。
リクエスト
POST https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors
リクエストの本文
{
"display_name": string,
"config": {
object (CollectorConfig)
}
"state": enum
}
本文のパラメータ
| フィールド | 型 | 必須 | Description |
|---|---|---|---|
| display_name | 文字列 | 必須 | コレクタの名前。この名前は Google SecOps インターフェースに表示されます。 |
| 構成 | オブジェクト | 必須 | このコレクタの構成設定。コレクタの構成フィールドをご覧ください。 |
| 使って | enum | 省略可 | コレクタの現在の状態を指定します。指定できる値は次のとおりです。
|
リクエストの例
この例では、Create Collector リクエストに必要な Key-Value ペアを示しています。指定されていないフィールドの場合、コレクタの作成時にデフォルト値が適用されます。
この例では、コレクタタイプには file が含まれているため、コレクタ構成にはコレクタタイプとその設定を示す file_settings が含まれます。コレクタタイプが syslog の場合、コレクタ構成には syslog_settings が含まれます。詳細については、コレクタの構成フィールドをご覧ください。
POST https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors
{
"display_name": "abc_collector",
"config" {
"log_type": "CS_EDR"
"file_settings": {
"file_path": "/opt/chronicle/edr/output/sample.txt",
}
}
}
レスポンス
リクエストが成功すると、HTTP ステータス コード 200(OK)が返されます。
レスポンスには、コレクタの作成時に適用された構成値が表示されます。特定の構成がリクエストの本文で欠落しているか、ゼロ値である場合、デフォルト構成の値はリソース作成時に適用されます。詳細については、コレクタの構成フィールドをご覧ください。
レスポンスのフィールド
リクエストで指定されたフィールドとデフォルト値が適用されるフィールドに加えて、レスポンスには次のフィールドが含まれます。
| フィールド | 型 | Description |
|---|---|---|
| name | 文字列 | コレクタのリソース ID。形式は「forwarders/{forwarderID}/collectors/{collectorID}」です。例えば:forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56 |
レスポンスの例
これは、上記のリクエストの例に対して返されるレスポンスの例です。
{
"name": "forwarders/12ab3cd4-56ef-7ghi-j89k-1l23m4nopq56/collectors/
98ab7cd6-54ef-3abc-d21e-1f23a4bcde56",
"displayName": "abc_collector",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
}
コレクタの取得
コレクタを返します。
リクエスト
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}
リクエストの本文
リクエスト本文は含めないでください。
リクエストの例
GET
https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
レスポンスの例
{
"name": "?",
"displayName": "abc_collector",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
}
コレクタの一覧表示
指定したフォワーダーの既存のコレクタを一覧表示します。
リクエスト
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors
リクエストの例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors
レスポンス
複数のコレクタを返します。
レスポンスの例
{
"collectors": [
{
"name": "?",
"displayName": "abc_collector_1",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
},
{
"name": "?",
"displayName": "abc_collector_2",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
}
]
}
コレクタの更新
API を使用してコレクタを更新する場合、コレクタ構成全体を上書きすることも、コレクタ構成の特定のフィールドのみを上書きすることもできます。通常、誤ってすべてのデータを上書きしないように、特定のフィールドを上書きすることをおすすめします。特定のフィールドを上書きするには、更新リクエストに FieldMask を指定します。
FieldMask を指定してコレクタの表示名を更新するには、パッチ リクエストに updateMask URL クエリ パラメータを指定します。例:
?updateMask=displayName
リクエスト本文には、更新するフィールド(正確なロケーション)のみを含める必要があります。
リクエスト
PATCH https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}?updateMask=<field_1,field_2>
リクエストの本文
{
"display_name": string,
"config": {
object (CollectorConfig)
},
}
本文のパラメータ
| フィールド | 型 | 必須 | Description |
|---|---|---|---|
| displayName | 文字列 | 必須 | コレクタの名前。この名前は Google SecOps インターフェースに表示されます。 |
| 構成 | オブジェクト | 省略可 | このフォワーダーの構成設定。コレクタの構成フィールドをご覧ください。 |
リクエストの例
これは、updateName、logType、assetNamespace、プロトコルに新しい値を指定する Update Collector のリクエストの例です。
PATCH https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56?updateMask=displayName,config.logType,config.metadata.assetNamespace,config.syslogSettings.protocol
{
"display_name": "UpdatedCollector"
"config": {
"metadata": {
"asset_namespace": "COLLECTOR",
},
"log_type": "CISCO_ASA_FIREWALL",
"syslog_settings": {
"protocol": "TCP",
}
}
}
レスポンスの例
これは、上記のリクエストの例に対して返されるレスポンスの例です。
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56",
"displayName": "UpdatedCollector",
"config": {
"logType": "CISCO_ASA_FIREWALL",
"metadata": {
"assetNamespace": "COLLECTOR"
},
"maxSecondsPerBatch": 10,
"maxBytesPerBatch": "1048576",
"syslogSettings": {
"protocol": "TCP",
"address": "0.0.0.0",
"port": 10514,
}
},
"state": "ACTIVE"
}
コレクタを削除
コレクタを削除します。
リクエスト
DELETE https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}
リクエストの本文
リクエスト本文は含めないでください。
リクエストの例
DELETE https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
レスポンスの例
オペレーションが成功すると、Delete Collector は HTTP ステータス コード 200(OK)の空のレスポンスを返します。
{}
コレクタの構成フィールド
リクエスト本文の config オブジェクトに次のフィールドを指定できます。
| フィールド | 型 | 必須 | Description |
|---|---|---|---|
| log_type | 文字列 | 必須 | サポートされているログタイプ(Google SecOps で取り込めるログタイプ)。Google SecOps がパーサーを持つサポート対象のログタイプのリストについては、サポートされるデフォルト パーサー ページの取り込みラベル列をご覧ください。サポートされるログタイプの完全なリストを取得するには、logtypes エンドポイントを使用します。
|
| metadata.asset_namespace | オブジェクト | 省略可 | このコレクタからのログを識別する名前空間。 注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。詳細については、名前空間を構成するをご覧ください。 |
| metadata.labels | リスト | 省略可 | コレクタ構成で指定できる任意の Key-Value ペアのリスト。 注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。 |
| metadata.labels.key | 文字列 | 省略可 | メタデータ ラベル リストのフィールドのキー。 |
| metadata.labels.value | 文字列 | 省略可 | メタデータ ラベル フィールドの値。 |
| regex_filters.description | 文字列 | 省略可 | フィルタの対象とその理由について説明します。 |
| regex_filters.regexp | 文字列 | 省略可 | 各受信行を照合するために使用される正規表現。 |
| regex_filters.Behavior | enum | 省略可 | サーバー機能の状態を指定します。指定できる値は次のとおりです。
|
| disk_buffer.state | enum | 省略可 | コレクタのディスク バッファリング状態を指定します。指定できる値は次のとおりです。
|
| disk_buffer.directory_path | 文字列 | 省略可 | 書き込まれたファイルのディレクトリ パス。 |
| disk_buffer.max_file_buffer_bytes | 整数 | 省略可 | バッファリングされた最大ファイルサイズ。 |
| バッチごとの最大秒数 | 整数 | 省略可 | バッチ間の秒数。 デフォルトは 10です。 |
| バッチあたりの最大バイト数 | 整数 | 省略可 | フォワーダーのバッチ アップロードの前にキューに格納されたバイト数。 デフォルトは 1048576です。 |
| <collector_type>_settings.<fields> | 必須 | コレクタのタイプとその設定を指定します。すべてのコレクタで、1 つのコレクタタイプとそのフィールドを指定する必要があります。たとえば、コレクタタイプ file を使用するには、file_settings.file_path フィールドを構成に追加し、値を指定する必要があります。例:"file_settings": {コレクタの種類とそのフィールドは、この表の後続の行に表示されます。使用可能なコレクタタイプは次のとおりです。
|
|
| file_settings.file_path | 文字列 | 省略可 | モニタリングするファイルのパス。 |
| kafka_settings.authentication.username | 文字列 | 省略可 | 認証に使用される ID のユーザー名。 |
| kafka_settings.authentication.password | 文字列 | 省略可 | ユーザー名によって識別されたアカウントのパスワード。 |
| kafka_settings.topic | 文字列 | 省略可 | データの取り込み元の Kafka トピック。詳細については、Kafka トピックからデータを収集するをご覧ください。 |
| kafka_settings.group_id | 文字列 | 省略可 | グループ ID。 |
| kafka_settings.timeout | 整数 | 省略可 | ダイヤルが接続の完了を待つ最大秒数。 デフォルトは 60です。 |
| kafka_settings.brokers | 文字列 | 省略可 | Kafka ブローカーを一覧表示する反復文字列。例: 「broker-1:9092」、「broker-2:9093」 注: 更新オペレーション中にすべての値が置き換えられます。したがって、新しいブローカーを追加するブローカーのリストを更新するには、既存のすべてのブローカーと新しいブローカーを指定します。 |
| kafka_settings.tls_settings.certificate | 文字列 | 省略可 | パスと証明書のファイル名。例えば:/path/to/cert.pem |
| kafka_settings.tls_settings.certificate_key | 文字列 | 省略可 | パスと証明書のキーファイル名。例えば:/path/to/cert.key |
| kafka_settings.tls_settings.minimum_tls_version | 文字列 | 省略可 | 最小 TLS バージョン。 |
| kafka_settings.tls_settings.insecure_skip_verify | bool | 省略可 | true の場合、SSL 認証の検証を有効にします。デフォルトは falseです。 |
| pcap_settings.network_interface | 文字列 | 省略可 | PCAP データをリッスンするインターフェース。 |
| pcap_settings.bpf | 文字列 | 省略可 | pcap の Berkeley Packet Filter(BPF)。 |
| splunk_settings.authentication.username | 文字列 | 省略可 | 認証に使用される ID のユーザー名。 |
| splunk_settings.authentication.password | 文字列 | 省略可 | ユーザー名によって識別されたアカウントのパスワード。 |
| splunk_settings.host | 文字列 | 省略可 | Splunk REST API のホストまたは IP アドレス。 |
| splunk_settings.port | 整数 | 省略可 | Splunk REST API のポート。 |
| splunk_settings.minimum_window_size | 整数 | 省略可 | 特定の Splunk 検索の最小時間(秒)。詳細については、Splunk データを収集するをご覧ください。 デフォルトは 10です。 |
| splunk_settings.maximum_window_size | 整数 | 省略可 | 特定の Splunk 検索の最大時間範囲(秒単位)。詳細については、Splunk データを収集するをご覧ください。 デフォルトは 30です。 |
| splunk_settings.query_string | 文字列 | 省略可 | Splunk 内のレコードをフィルタリングするために使用されるクエリ。 例えば: search index=* sourcetype=dns |
| splunk_settings.query_mode | 文字列 | 省略可 | Splunk のクエリモード。 例えば: realtime |
| splunk_settings.cert_ignored | bool | 省略可 | true の場合、証明書は無視されます。 |
| syslog_settings.protocol | enum | 省略可 | コレクタが syslog データをリッスンするプロトコルを指定します。指定できる値は次のとおりです。
|
| syslog_settings.address | 文字列 | 省略可 | コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名。 |
| Syslog_settings.port | 整数 | 省略可 | コレクタが存在し、syslog データをリッスンするターゲット ポート。 |
| syslog_settings.buffer_size | 整数 | 省略可 | TCP ソケットのバッファのサイズ(バイト単位)。 TCP のデフォルト値は 65536 です。UDP のデフォルト値は 8192 です。 |
| syslog_settings.connecton_timeout | 整数 | 省略可 | TCP 接続が切断されるまでの秒数。 デフォルトは 60です。 |
| syslog_settings.tls_settings.certificate | 文字列 | 省略可 | パスと証明書のファイル名。例えば:/path/to/cert.pem |
| syslog_settings.tls_settings.certificate_key | 文字列 | 省略可 | パスと証明書のキーファイル名。例えば:/path/to/cert.key |
| syslog_settings.tls_settings.minimum_tls_version | 文字列 | 省略可 | 最小 TLS バージョン。 |
| syslog_settings.tls_settings.insecure_skip_verify | bool | 省略可 | true の場合、SSL 認証の検証を有効にします。デフォルトは falseです。 |