Forwarder Management API

Google Security Operations Forwarde Management API を使用すると、次のことをプログラムで行うことができます。

  • フォワーダーの作成と管理。
  • コレクタの作成と管理。
  • Google Security Operations フォワーダーの構成(.conf)ファイルと認証(_auth.conf)ファイルのファイルの内容を取得。

フォワーダーは、1 つ以上のコレクタで構成されます。各コレクタの構成では、取り込みメカニズム(ファイル、Kafka、PCAP、Splunk、Syslog など)とログタイプを指定します。

ハードウェアの要件が満たされていれば、同じフォワーダー上に多くのコレクタを使用して、さまざまなメカニズムやログタイプからデータを取り込むことができます。たとえば、PAN_FIREWALL と CISCO_ASA_FIREWALL のデータをそれぞれリッスンする 2 つの syslog コレクタを持つフォワーダーを、別々のポートにインストールできます。

この API を使用すると、Google Security Operations インスタンスにフォワーダーとそのコレクタを作成できます。フォワーダーを作成したら、Generate Forwarder Files エンドポイントを使用して、フォワーダーの構成(.conf)と認証(_auth.conf)ファイルのファイルの内容を(JSON ペイロードとして)取得できます。これらの内容は、それぞれの .conf ファイルに書き込んで、Google Security Operations Forwarder サービスで Windows または Linux システムにデプロイできます。

Forwarder Management API を使用する Python サンプルについては、GitHub リポジトリをご覧ください。

フォワーダーとそのコレクタを作成する

フォワーダーは、コレクタの作成前に作成する必要があります。

フォワーダーとそのコレクタを作成するには:

  1. フォワーダーを作成する
  2. フォワーダーのコレクタを作成します。
  3. (省略可)手順 2 を繰り返して、さらにコレクタを追加します。

Google Security Operations API[:#authenticate] で認証する方法

この Google Security Operations API は、認証と認可に OAuth 2.0 プロトコルを使用します。作成するアプリケーションでは、次のいずれかを実装して認証と認可を行うことができます。

  • 使用するコンピュータ言語用の Google API クライアント ライブラリを利用する。

  • HTTP を使用して OAuth 2.0 システムと直接やり取りする。

Python の Google 認証ライブラリについては、リファレンス ドキュメントをご覧ください。

Google 認証ライブラリは Google API クライアント ライブラリのサブセットです。その他の言語の実装をご覧ください。

API 認証情報の取得

Google Security Operations の担当者から、API クライアントが API と通信できるように Google Developers サービス アカウント認証情報が提供されます。

また、API クライアントを初期化するときに認証スコープを指定する必要があります。OAuth 2.0 は、スコープを使用してアカウントに対するアプリケーションのアクセスを制限します。アプリケーションがスコープをリクエストした場合、そのアプリケーションに発行されたアクセス トークンは与えられたスコープに制限されます。

次のスコープを使用して Google API クライアントを初期化します。

https://www.googleapis.com/auth/chronicle-backstory

Python の例

次の Python の例は、google.oauth2googleapiclient を使用して OAuth2 認証情報と HTTP クライアントを使用する方法を示しています。

# Imports required for the sample - Google Auth and API Client Library Imports.
# Get these packages from https://pypi.org/project/google-api-python-client/ or run $ pip
# install google-api-python-client from your terminal
from google.oauth2 import service_account
from googleapiclient import _auth

SCOPES = ['https://www.googleapis.com/auth/chronicle-backstory']

# The apikeys-demo.json file contains the customer's OAuth 2 credentials.
# SERVICE_ACCOUNT_FILE is the full path to the apikeys-demo.json file
# ToDo: Replace this with the full path to your OAuth2 credentials
SERVICE_ACCOUNT_FILE = '/customer-keys/apikeys-demo.json'

# Create a credential using Google Developer Service Account Credential and Google Security Operations API
# Scope.
credentials = service_account.Credentials.from_service_account_file(SERVICE_ACCOUNT_FILE, scopes=SCOPES)

# Build an HTTP client to make authorized OAuth requests.
http_client = _auth.authorized_http(credentials)

# <your code continues here>

Chronicle API のクエリの上限

Chronicle API では、お客様が Google Security Operations プラットフォームに対して実行できるリクエスト数に上限があります。クエリの上限に達した場合、または上限を超えた場合、Chronicle API サーバーは HTTP 429(RESOURCE_EXHAUSTED)を呼び出し元に返します。Chronicle API 用のアプリケーションを開発する場合、リソースの不足を避けるため、システム内でレート制限を適用することをおすすめします。これらの上限は、Search API、Forwarder Management API、Tooling API を含む、すべての Chronicle API に適用されます。

Chronicle のフォワーダー管理 API の次の上限が適用され、1 秒あたりのクエリ数(QPS)で測定されます。

Chronicle API API エンドポイント 上限
フォワーダー管理 フォワーダーを作成する 1 QPS
フォワーダーの取得 1 QPS
フォワーダーの一覧表示 1 QPS
フォワーダーの更新 1 QPS
フォワーダーの削除 1 QPS
コレクタの管理 コレクタの作成 1 QPS
コレクタの取得 1 QPS
コレクタの一覧表示 1 QPS
コレクタの更新 1 QPS
コレクタを削除 1 QPS

フォワーダー API リファレンス

このセクションでは、フォワーダーを作成および管理するためのエンドポイントについて説明します。コレクタを作成および管理するためのエンドポイントについては、Collector API のリファレンスをご覧ください。

フォワーダーの作成

Google SecOps インスタンスに新しいフォワーダーを作成します。新しいフォワーダーには、リクエスト本文で指定されたフォワーダー構成値が含まれます。コレクタの構成値は、Create Forwarder の使用後に、Create Collector を使用して指定する必要があります。

一部の設定では、リクエスト本文に欠損値やゼロ値が設定されている構成値はデフォルト値に設定されています。フォワーダー フィールドと値の詳細については、フォワーダー構成フィールドをご覧ください。

リクエスト

POST https://backstory.googleapis.com/v2/forwarders

リクエストの本文
{
  "display_name": string,
  "config": {
    object (ForwarderConfig)
  }
}
本文のパラメータ
フィールド 必須 Description
display_name 文字列 必須 フォワーダーの名前。この名前は Google SecOps インターフェースに表示されます。
構成 オブジェクト 省略可 このフォワーダーの構成設定。フォワーダー構成フィールドをご覧ください。
リクエストの例

次の例は、フォワーダー リクエストの作成で必要な Key-Value ペアを示しています。リクエストでフィールドが指定されておらずデフォルト値がある場合は、フォワーダーの作成時にデフォルト値が適用されます。デフォルト値の詳細については、フォワーダー構成フィールドをご覧ください。

POST https://backstory.googleapis.com/v2/forwarders
{
  "display_name": "chronicle_forwarder"
}

レスポンス

リクエストが成功すると、HTTP ステータス コード 200(OK)が返されます。

レスポンスには、フォワーダーの作成中に適用された構成値が表示されます。特定の構成がリクエストの本文で欠落しているか、ゼロ値である場合、デフォルト構成の値はリソース作成時に適用されます。詳細については、フォワーダーの構成フィールドをご覧ください。

レスポンスのフィールド

リクエストで指定されたフィールドとデフォルト値が適用されるフィールドに加えて、レスポンスには生成された次の出力フィールドと出力専用フィールドが含まれます。

フィールド Description
name 文字列 フォワーダーのリソース ID。形式は「forwarders/forwarderID」です。例:

forwarders/12ab3cd4-56ef-7ghi-j89k-1l23m4nopq56
使って enum

フォワーダーの現在の状態を指定します。指定できる値は次のとおりです。

  • ACTIVE: フォワーダーはデータをアップロードできます。
  • SUSPENDED: フォワーダーにはデータのアップロードは許可されません。

デフォルト値は ACTIVE です。

レスポンスの例

これは、上記のリクエストの例に対して返されるレスポンスの例です。

{
  "name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
  "displayName": "chronicle_forwarder",
  "config": {
    "uploadCompression": "false",
    "serverSettings": {
      "gracefulTimeout": 15,
      "drainTimeout": 10,
      "httpSettings": {
        "port": "8080",
        "host": "0.0.0.0",
        "readTimeout": "3",
        "readHeaderTimeout": "3",
        "writeTimeout": "3",
        "idleTimeout": "3"
        "routeSettings": {
          "availableStatusCode": "204",
          "readyStatusCode": "204",
          "unreadyStatusCode": "503"
        },
      },
    },
  },
  "state": "ACTIVE"
}

フォワーダーの取得

フォワーダーを返します。

リクエスト

GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}

リクエストの本文

リクエスト本文は含めないでください。

リクエストの例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56
レスポンスの例
{
  "name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
  "displayName": "chronicle_forwarder",
  "config": {
    "uploadCompression": "false",
    "serverSettings": {
      "gracefulTimeout": 15,
      "drainTimeout": 10,
      "httpSettings": {
        "port": "8080",
        "host": "0.0.0.0",
        "readTimeout": "3",
        "readHeaderTimeout": "3",
        "writeTimeout": "3",
        "idleTimeout": "3"
        "routeSettings": {
          "availableStatusCode": "204",
          "readyStatusCode": "204",
          "unreadyStatusCode": "503"
        },
      },
    },
  },
  "state": "ACTIVE"
}

フォワーダーの一覧表示

Google SecOps インスタンスのすべてのフォワーダーを一覧表示します。

リクエスト

GET https://backstory.googleapis.com/v2/forwarders

リクエストの例

GET https://backstory.googleapis.com/v2/forwarders

レスポンス

フォワーダーのリストを返します。

レスポンスの例
{
  "forwarders": [
    {
      "name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
      "displayName": "chronicle_forwarder_1",
      "config": {
        "uploadCompression": "false",
        "serverSettings": {
          "gracefulTimeout": 15,
          ...
         },
      },
      "state": "ACTIVE"
    },
    {
      "name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde57",
      "displayName": "chronicle_forwarder_2",
      "config": {
        "uploadCompression": "false",
        "serverSettings": {
          "gracefulTimeout": 15,
       ...
       },
      },
      "state": "ACTIVE"
    }
  ]
}

フォワーダーの更新

フォワーダーを更新するには、updateMask URL クエリ パラメータを使用して、更新するフィールドを指定します。

たとえば、表示名を更新するには、パッチ リクエストで次のように updateMask クエリ パラメータを使用します。

?updateMask=displayName

リクエスト本文には、更新するフィールド(正確なロケーション)のみを含める必要があります。

リクエスト

PATCH https://backstory.googleapis.com/v2/forwarders/{forwarderID}?updateMask=<field_1,field_2>
リクエストの本文
{
  "display_name": string,
  "config": {
    object (ForwarderConfig)
  },
}
本文のパラメータ
フィールド 必須 Description
display_name 文字列 必須 フォワーダーの名前。この名前は Google SecOps インターフェースに表示されます。
構成 オブジェクト 省略可 このフォワーダーの構成設定。フォワーダー構成フィールドをご覧ください。
リクエストの例

これは、リクエストが displayName に新しい値を指定し、メタデータ ラベルを追加する Update Forwarder リクエストの例です。

PATCH https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56?updateMask=displayName,config.metadata.labels
{
  "display_name": "UpdatedForwarder",
  "config": {
    "metadata": {
      "labels": [
        {
          "key": "office",
          "value": "corporate",
        }
      ]
    }
  }
}
レスポンスの例

これは、上記のリクエストの例に対して返されるレスポンスの例です。

{
  "name": "forwarders/{forwarderUUID}",
  "displayName": "UpdatedForwarder",
  "config": {
    "uploadCompression": "false",
    "metadata": {
      "labels": [
        {
          "key": "office",
          "value": "corporate"
        }
      ]
    }
  },
  "state": "ACTIVE"
}

フォワーダーの削除

フォワーダーを削除します。

リクエスト

DELETE https://backstory.googleapis.com/v2/forwarders/{forwarderID}
リクエストの本文

リクエスト本文は含めないでください。

リクエストの例
DELETE https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56
レスポンスの例

オペレーションが成功すると、Delete Forwarder は HTTP ステータス コード 200(OK)の空のレスポンスを返します。

{}

フォワーダー ファイルを生成する

フォワーダーの構成ファイル(.conf)と認証(_auth.conf)ファイルの内容を生成して返します。

リクエスト

GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}:generateForwarderFiles
リクエストの本文

リクエスト本文は含めないでください。

リクエストの例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56:generateForwarderFiles
レスポンスの例

オペレーションが成功すると、HTTP ステータス コード 200(OK)が返されます。また、フォワーダーのコレクタの構成データと、Google SecOps インスタンスで認証するためにフォワーダーで使用される認証(_auth.conf)ファイルなど、フォワーダー構成ファイルの内容も返されます。

フォワーダー構成フィールド

次の表に、Create Forwarder と Update Forwarder を使用して指定できるフォワーダー構成設定を示します。Create Forwarder を使用するときに設定の値を指定しないと、設定のデフォルト値が適用されます(下記参照)。

リクエスト本文の config オブジェクトに次のフィールドを指定できます。

フィールド 必須 Description
アップロード圧縮 bool 省略可 true の場合、データのバッチはアップロード前に圧縮されます。

デフォルトは falseです。
metadata.asset_namespace 文字列 省略可 このフォワーダーからログを識別するための名前空間。

注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。詳細については、名前空間を構成するをご覧ください。
metadata.labels リスト 省略可 フォワーダー構成で指定できる任意の Key-Value ペアのリスト。

注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。
metadata.labels.key 文字列 省略可 メタデータ ラベル リストのフィールドのキー。
metadata.labels.value 文字列 省略可 メタデータ ラベル フィールドの値。
regex_filters.description 文字列 省略可 フィルタの対象とその理由について説明します。
regex_filters.regexp 文字列 省略可 各受信行を照合するために使用される正規表現。
regex_filters.Behavior enum 省略可

サーバー機能の状態を指定します。指定できる値は次のとおりです。

  • ALLOW: この状態では、フィルタされた行をアップロードできます。
  • ブロック: この状態では、フィルタされた行をアップロードできません。
server_settings オブジェクト 省略可 フォワーダーの組み込み HTTP サーバーを構成する設定。このサーバーは、Linux 上の syslog コレクション用に負荷分散オプションと高可用性オプションを構成するために使用できます。
server_settings.state enum 省略可

サーバー機能の状態を指定します。指定できる値は次のとおりです。

  • ACTIVE: この状態では、指定されたとおりにサーバー設定が適用されます。
  • SUSPENDED: この状態では、サーバー設定は適用されません。
server_settings.graceful_timeout 整数 省略可 フォワーダーが不適切な準備やヘルスチェックを返していながら新しい接続を引き続き受け入れるまでの秒数。これは、停止する信号を受信してから実際にサーバー自体のシャットダウンが開始されるまで、待機する時間でもあります。これにより、ロードバランサがプールからフォワーダーを削除する時間を確保できます。

デフォルト値は 15です。
server_settings.drain_timeout 整数 省略可 アクティブな接続がサーバーによって閉じられる前に、独自に正常に終了するまでフォワーダーが待機する秒数。

デフォルト値は 10です。
server_settings.http_settings.port 整数 省略可 HTTP サーバーがロードバランサからのヘルスチェックをリッスンするポート番号。1024 ~ 65535 にする必要があります。

デフォルト値は8080です。
server_settings.http_settings.host 文字列 省略可 IP アドレス、または、サーバーがリッスンする IP アドレスに解決できるホスト名。

デフォルト値は 0.0.0.0(ローカル システム)です。
server_settings.http_settings.read_timeout 整数 省略可 リクエスト全体(ヘッダーと本文を含む)を読み取ることができる最大秒数。

デフォルト値は 3です。
server_settings.http_settings.read_header_timeout 整数 省略可 リクエスト ヘッダーの読み取りを許可する最大秒数。

デフォルト値は 3です。
server_settings.http_settings.write_timeout 整数 省略可 レスポンスの送信に許可される最大秒数。

デフォルト値は 3です。
server_settings.http_settings.idle_timeout 整数 省略可 アイドル状態の接続が有効な場合に、次のリクエストを待機する最大秒数。

デフォルト値は3です。
server_settings.http_settings.route_settings.available_status_code 整数 省略可 実行チェックを受信し、フォワーダーが利用可能な場合に返されるステータス コード。

デフォルトは 204です。
server_settings.http_settings.route_settings.ready_status_code 整数 省略可 フォワーダーがトラフィックを受け入れる準備ができたときに返されるステータス コード。

デフォルトは 204です。
server_settings.http_settings.route_settings.unready_status_code 整数 省略可 フォワーダーがトラフィックを受け入れる準備ができていない場合に返されるステータス コード。

デフォルトは 503です。

Collector API のリファレンス

このセクションでは、コレクタを操作するエンドポイントについて説明します。

コレクタを作成および更新するときは、各コレクタ構成で次の 1 つに対する取り込み設定を指定できます(複数の指定はできません)。

  • ログファイルデータ
  • Kafka トピック
  • パケットデータ(pcap)
  • Splunk データ
  • syslog データ

フォワーダーを操作するエンドポイントについては、フォワーダー API リファレンスをご覧ください。

コレクタの作成

Google SecOps アカウントに新しいコレクタを作成します。コレクタの構成値は、Create Forwarder の使用後に、Create Collector を使用して指定する必要があります。

一部の設定では、リクエスト本文が欠落している値やゼロ値の構成値はデフォルト値に設定されています。コレクタ構成フィールドと値の詳細については、コレクタの構成フィールドをご覧ください。

リクエスト

POST https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors
リクエストの本文
{
  "display_name": string,
  "config": {
    object (CollectorConfig)
  }
  "state": enum
}
本文のパラメータ
フィールド 必須 Description
display_name 文字列 必須 コレクタの名前。この名前は Google SecOps インターフェースに表示されます。
構成 オブジェクト 必須 このコレクタの構成設定。コレクタの構成フィールドをご覧ください。
使って enum 省略可

コレクタの現在の状態を指定します。指定できる値は次のとおりです。

  • ACTIVE: コレクタはデータを受け入れることができます。
  • SUSPENDED: コレクタはデータを受け入れることができません。
リクエストの例

この例では、Create Collector リクエストに必要な Key-Value ペアを示しています。指定されていないフィールドの場合、コレクタの作成時にデフォルト値が適用されます。

この例では、コレクタタイプには file が含まれているため、コレクタ構成にはコレクタタイプとその設定を示す file_settings が含まれます。コレクタタイプが syslog の場合、コレクタ構成には syslog_settings が含まれます。詳細については、コレクタの構成フィールドをご覧ください。

POST https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors
{
  "display_name": "abc_collector",
  "config" {
    "log_type": "CS_EDR"
    "file_settings": {
      "file_path": "/opt/chronicle/edr/output/sample.txt",
    }
  }
}

レスポンス

リクエストが成功すると、HTTP ステータス コード 200(OK)が返されます。

レスポンスには、コレクタの作成時に適用された構成値が表示されます。特定の構成がリクエストの本文で欠落しているか、ゼロ値である場合、デフォルト構成の値はリソース作成時に適用されます。詳細については、コレクタの構成フィールドをご覧ください。

レスポンスのフィールド

リクエストで指定されたフィールドとデフォルト値が適用されるフィールドに加えて、レスポンスには次のフィールドが含まれます。

フィールド Description
name 文字列 コレクタのリソース ID。形式は「forwarders/{forwarderID}/collectors/{collectorID}」です。例えば:

forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
レスポンスの例

これは、上記のリクエストの例に対して返されるレスポンスの例です。

{
  "name": "forwarders/12ab3cd4-56ef-7ghi-j89k-1l23m4nopq56/collectors/
     98ab7cd6-54ef-3abc-d21e-1f23a4bcde56",
  "displayName": "abc_collector",
  "config": {
    "logType": "tomcat",
    "maxSecondsPerBatch": "10",
    "maxBytesPerBatch": "1048576"
  }
}

コレクタの取得

コレクタを返します。

リクエスト

GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}
リクエストの本文

リクエスト本文は含めないでください。

リクエストの例
GET
https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
レスポンスの例
{
  "name": "?",
  "displayName": "abc_collector",
  "config": {
    "logType": "tomcat",
    "maxSecondsPerBatch": "10",
    "maxBytesPerBatch": "1048576"
  }
}

コレクタの一覧表示

指定したフォワーダーの既存のコレクタを一覧表示します。

リクエスト

GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors
リクエストの例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors

レスポンス

複数のコレクタを返します。

レスポンスの例
{
  "collectors": [
    {
      "name": "?",
      "displayName": "abc_collector_1",
      "config": {
        "logType": "tomcat",
        "maxSecondsPerBatch": "10",
        "maxBytesPerBatch": "1048576"
      }
    },
    {
      "name": "?",
      "displayName": "abc_collector_2",
      "config": {
        "logType": "tomcat",
        "maxSecondsPerBatch": "10",
        "maxBytesPerBatch": "1048576"
      }
    }
  ]
}

コレクタの更新

API を使用してコレクタを更新する場合、コレクタ構成全体を上書きすることも、コレクタ構成の特定のフィールドのみを上書きすることもできます。通常、誤ってすべてのデータを上書きしないように、特定のフィールドを上書きすることをおすすめします。特定のフィールドを上書きするには、更新リクエストに FieldMask を指定します。

FieldMask を指定してコレクタの表示名を更新するには、パッチ リクエストに updateMask URL クエリ パラメータを指定します。例:

?updateMask=displayName

リクエスト本文には、更新するフィールド(正確なロケーション)のみを含める必要があります。

リクエスト

PATCH https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}?updateMask=<field_1,field_2>
リクエストの本文
{
  "display_name": string,
  "config": {
    object (CollectorConfig)
  },
}
本文のパラメータ
フィールド 必須 Description
displayName 文字列 必須 コレクタの名前。この名前は Google SecOps インターフェースに表示されます。
構成 オブジェクト 省略可 このフォワーダーの構成設定。コレクタの構成フィールドをご覧ください。
リクエストの例

これは、updateName、logType、assetNamespace、プロトコルに新しい値を指定する Update Collector のリクエストの例です。

PATCH https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56?updateMask=displayName,config.logType,config.metadata.assetNamespace,config.syslogSettings.protocol
{
  "display_name": "UpdatedCollector"
  "config": {
    "metadata": {
      "asset_namespace": "COLLECTOR",
      },
      "log_type": "CISCO_ASA_FIREWALL",
      "syslog_settings": {
        "protocol": "TCP",
      }
    }
  }
レスポンスの例

これは、上記のリクエストの例に対して返されるレスポンスの例です。

{
  "name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56",
  "displayName": "UpdatedCollector",
  "config": {
    "logType": "CISCO_ASA_FIREWALL",
    "metadata": {
      "assetNamespace": "COLLECTOR"
    },
    "maxSecondsPerBatch": 10,
    "maxBytesPerBatch": "1048576",
    "syslogSettings": {
      "protocol": "TCP",
      "address": "0.0.0.0",
      "port": 10514,
    }
  },
  "state": "ACTIVE"
}

コレクタを削除

コレクタを削除します。

リクエスト

DELETE https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}
リクエストの本文

リクエスト本文は含めないでください。

リクエストの例
DELETE https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
レスポンスの例

オペレーションが成功すると、Delete Collector は HTTP ステータス コード 200(OK)の空のレスポンスを返します。

{}

コレクタの構成フィールド

リクエスト本文の config オブジェクトに次のフィールドを指定できます。

フィールド 必須 Description
log_type 文字列 必須 サポートされているログタイプ(Google SecOps で取り込めるログタイプ)。Google SecOps がパーサーを持つサポート対象のログタイプのリストについては、サポートされるデフォルト パーサー ページの取り込みラベル列をご覧ください。サポートされるログタイプの完全なリストを取得するには、logtypes エンドポイントを使用します。
metadata.asset_namespace オブジェクト 省略可 このコレクタからのログを識別する名前空間。

注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。詳細については、名前空間を構成するをご覧ください。
metadata.labels リスト 省略可 コレクタ構成で指定できる任意の Key-Value ペアのリスト。

注: これは、フォワーダーとフォワーダーのコレクタがオーバーライドする場合を除き、コレクタレベルでグローバル設定です。
metadata.labels.key 文字列 省略可 メタデータ ラベル リストのフィールドのキー。
metadata.labels.value 文字列 省略可 メタデータ ラベル フィールドの値。
regex_filters.description 文字列 省略可 フィルタの対象とその理由について説明します。
regex_filters.regexp 文字列 省略可 各受信行を照合するために使用される正規表現。
regex_filters.Behavior enum 省略可

サーバー機能の状態を指定します。指定できる値は次のとおりです。

  • ALLOW: この状態では、フィルタされた行をアップロードできます。
  • ブロック: この状態では、フィルタされた行をアップロードできません。
disk_buffer.state enum 省略可

コレクタのディスク バッファリング状態を指定します。指定できる値は次のとおりです。

  • ACTIVE: バッファリングが有効。
  • SUSPENDED: バッファリングが無効。
disk_buffer.directory_path 文字列 省略可 書き込まれたファイルのディレクトリ パス。
disk_buffer.max_file_buffer_bytes 整数 省略可 バッファリングされた最大ファイルサイズ。
バッチごとの最大秒数 整数 省略可 バッチ間の秒数。

デフォルトは 10です。
バッチあたりの最大バイト数 整数 省略可 フォワーダーのバッチ アップロードの前にキューに格納されたバイト数。

デフォルトは 1048576です。
<collector_type>_settings.<fields> 必須 コレクタのタイプとその設定を指定します。すべてのコレクタで、1 つのコレクタタイプとそのフィールドを指定する必要があります。たとえば、コレクタタイプ file を使用するには、file_settings.file_path フィールドを構成に追加し、値を指定する必要があります。例:

"file_settings": {
  "file_path": "/opt/chronicle/edr/output/sample.txt",
}


コレクタの種類とそのフィールドは、この表の後続の行に表示されます。使用可能なコレクタタイプは次のとおりです。
  • file
  • kafka
  • pcap
  • splunk
  • syslog
file_settings.file_path 文字列 省略可 モニタリングするファイルのパス。
kafka_settings.authentication.username 文字列 省略可 認証に使用される ID のユーザー名。
kafka_settings.authentication.password 文字列 省略可 ユーザー名によって識別されたアカウントのパスワード。
kafka_settings.topic 文字列 省略可 データの取り込み元の Kafka トピック。詳細については、Kafka トピックからデータを収集するをご覧ください。
kafka_settings.group_id 文字列 省略可 グループ ID。
kafka_settings.timeout 整数 省略可 ダイヤルが接続の完了を待つ最大秒数。

デフォルトは 60です。
kafka_settings.brokers 文字列 省略可 Kafka ブローカーを一覧表示する反復文字列。例:

「broker-1:9092」、「broker-2:9093」

注: 更新オペレーション中にすべての値が置き換えられます。したがって、新しいブローカーを追加するブローカーのリストを更新するには、既存のすべてのブローカーと新しいブローカーを指定します。
kafka_settings.tls_settings.certificate 文字列 省略可 パスと証明書のファイル名。例えば:

/path/to/cert.pem
kafka_settings.tls_settings.certificate_key 文字列 省略可 パスと証明書のキーファイル名。例えば:

/path/to/cert.key
kafka_settings.tls_settings.minimum_tls_version 文字列 省略可 最小 TLS バージョン。
kafka_settings.tls_settings.insecure_skip_verify bool 省略可 true の場合、SSL 認証の検証を有効にします。

デフォルトは falseです。
pcap_settings.network_interface 文字列 省略可 PCAP データをリッスンするインターフェース。
pcap_settings.bpf 文字列 省略可 pcap の Berkeley Packet Filter(BPF)。
splunk_settings.authentication.username 文字列 省略可 認証に使用される ID のユーザー名。
splunk_settings.authentication.password 文字列 省略可 ユーザー名によって識別されたアカウントのパスワード。
splunk_settings.host 文字列 省略可 Splunk REST API のホストまたは IP アドレス。
splunk_settings.port 整数 省略可 Splunk REST API のポート。
splunk_settings.minimum_window_size 整数 省略可 特定の Splunk 検索の最小時間(秒)。詳細については、Splunk データを収集するをご覧ください。

デフォルトは 10です。
splunk_settings.maximum_window_size 整数 省略可 特定の Splunk 検索の最大時間範囲(秒単位)。詳細については、Splunk データを収集するをご覧ください。

デフォルトは 30です。
splunk_settings.query_string 文字列 省略可 Splunk 内のレコードをフィルタリングするために使用されるクエリ。

例えば: search index=* sourcetype=dns
splunk_settings.query_mode 文字列 省略可 Splunk のクエリモード。

例えば: realtime
splunk_settings.cert_ignored bool 省略可 true の場合、証明書は無視されます。
syslog_settings.protocol enum 省略可

コレクタが syslog データをリッスンするプロトコルを指定します。指定できる値は次のとおりです。

  • TCP
  • UDP
syslog_settings.address 文字列 省略可 コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名。
Syslog_settings.port 整数 省略可 コレクタが存在し、syslog データをリッスンするターゲット ポート。
syslog_settings.buffer_size 整数 省略可 TCP ソケットのバッファのサイズ(バイト単位)。

TCP のデフォルト値は 65536 です。
UDP のデフォルト値は 8192 です。
syslog_settings.connecton_timeout 整数 省略可 TCP 接続が切断されるまでの秒数。

デフォルトは 60です。
syslog_settings.tls_settings.certificate 文字列 省略可 パスと証明書のファイル名。例えば:

/path/to/cert.pem
syslog_settings.tls_settings.certificate_key 文字列 省略可 パスと証明書のキーファイル名。例えば:

/path/to/cert.key
syslog_settings.tls_settings.minimum_tls_version 文字列 省略可 最小 TLS バージョン。
syslog_settings.tls_settings.insecure_skip_verify bool 省略可 true の場合、SSL 認証の検証を有効にします。

デフォルトは falseです。