Gérer les configurations du redirecteur via l'interface utilisateur de Google Security Operations

Cette page explique comment créer, gérer et télécharger des configurations de redirecteurs à l'aide de l'interface utilisateur (UI) de Google Security Operations. Vous pouvez également effectuer ces tâches de manière automatisée à l'aide de l'API Forwarder Management.

Conventions d'attribution de noms

Ce document utilise les conventions d'attribution de noms suivantes:

  • Google Security Operations Forwarder: composant logiciel déployé.
  • forwarder: nom court d'une configuration de redirecteur lorsqu'elle est stockée dans votre instance Google Security Operations.
  • collector: nom court d'une configuration de collecteur lorsqu'elle est stockée dans votre instance Google Security Operations.

Ajouter des redirecteurs

L'ajout d'un redirecteur est la première étape de la configuration d'un redirecteur Google Security Operations. L'ajout d'un redirecteur vous permet d'effectuer les opérations suivantes:

  • Nommez une configuration de redirecteur.
  • Spécifiez les valeurs de configuration du redirecteur.

L'ajout d'un redirecteur crée une configuration de redirecteur partiellement complète. Pour terminer la configuration du redirecteur, vous devez ajouter un collecteur. Après avoir ajouté au moins un collecteur, vous pouvez télécharger la configuration du redirecteur et la déployer sur une machine ou un appareil sur lequel Google Security Operations Forwarder est installé.

Au lieu d'ajouter un redirecteur, vous pouvez cloner un ou plusieurs redirecteurs existants. Pour en savoir plus, consultez la section Cloner les redirecteurs.

Pour ajouter un redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires.
  3. Cliquez sur Ajouter un redirecteur.
  4. Dans le champ Nom du redirecteur, saisissez un nom.

  5. (Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :

    • Upload compression (Importer la compression) : sélectionnez Yes (Oui) pour compresser les données des journaux avant de les importer dans Google Security Operations. La valeur par défaut est No. Pour en savoir plus sur la compression de données, consultez la section Compression d'importation.
    • Espace de noms d'élément:saisissez un espace de noms qui identifie les journaux collectés par ce redirecteur. Cet espace de noms sera appliqué à tous les collecteurs ajoutés à ce redirecteur, sauf si vous spécifiez un espace de noms pour un collecteur au niveau du collecteur. Si vous spécifiez un espace de noms à la fois au niveau du redirecteur et au niveau du collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez Espaces de noms d'éléments.
    • Clé de l'étiquette et Valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur Ajouter une étiquette pour ajouter une ou plusieurs paires clé/valeur de libellé. Il s'agit d'un paramètre global qui s'applique aux collecteurs du redirecteur et du redirecteur, sauf s'il est ignoré au niveau du collecteur. Pour en savoir plus, consultez la section Libellés.
    • Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) sur chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le comportement en cas de correspondance consiste à mettre (block) la ligne entrante, puis à continuer à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez la page Filtres d'expressions régulières.

  6. (Collection Syslog uniquement) Facultatif: Activez l'option Paramètres du serveur pour configurer le serveur HTTP intégré du redirecteur, qui peut être utilisé pour configurer les options d'équilibrage de charge et de haute disponibilité pour la collecte syslog sous Linux. Pour plus d'informations sur ces paramètres, consultez la section Paramètres de serveur HTTP pour la collecte syslog.

  7. Cliquez sur Envoyer.

    Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.

  8. Dans le champ Nom du marchand, saisissez un nom.

  9. Cliquez sur le champ Type de journal pour afficher la liste des types de journaux et effectuez l'une des opérations suivantes:

    • Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans la zone pour afficher plus de suggestions. Pour obtenir la liste complète des types de journaux compatibles, consultez la page Ensembles de données compatibles.
    • Sélectionnez un type de journal dans la liste.

  10. (Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :

    • Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux collectés par ce collecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez la section Espaces de noms d'éléments.
    • Clé d'étiquette et valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter une ou plusieurs paires clé/valeur d'étiquette. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifiées au niveau du redirecteur. Pour en savoir plus, consultez la section Libellés.
    • Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) correspondant à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le comportement en cas de correspondance consiste à mettre (block) la ligne entrante, puis à continuer à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez la page Filtres d'expressions régulières.

  11. (Facultatif) Développez la section Paramètres avancés et spécifiez l'un des éléments suivants :

    • Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est 10.
    • Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant l'importation groupée du redirecteur. La valeur par défaut est 1048576.

  12. (Facultatif) Tampon du disque : définissez l'option sur activé pour activer la mise en mémoire tampon du disque pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:

    • Chemin d'accès au répertoire:chemin d'accès au répertoire des fichiers écrits.
    • Nombre maximal d'octets de la mémoire tampon du fichier:taille de disque maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est 1073741824. Le maximum est de 4294967296.

  13. Cliquez sur le champ Type de collecteur, puis sélectionnez un type de collecteur. Chaque type de collecteur possède ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres du type de collecteur.

  14. Cliquez sur Envoyer.

Ajouter des collecteurs

Vous pouvez ajouter un ou plusieurs collecteurs à un redirecteur existant.

L'ajout d'un collecteur vous permet d'effectuer les opérations suivantes:

  • Nommez le collecteur.
  • Spécifiez le type de journal à collecter, par exemple Pan Firewall, Cisco ASA Firewall, etc.
  • Spécifiez le type de collecteur: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Spécifiez les valeurs de configuration du collecteur.

Après avoir ajouté au moins un collecteur à un redirecteur, vous pouvez télécharger la configuration du redirecteur et la déployer sur une machine ou un appareil sur lequel Google Security Operations Forwarder est installé.

Pour ajouter un collecteur à un redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires.
  3. Sur la page redirecteurs, recherchez le redirecteur souhaité. Si la liste des redirecteurs est longue, utilisez le champ Rechercher.
  4. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez ajouter un collecteur. L'icône du menu Développer s'affiche.
  5. Cliquez sur l'icône du menu Développer .
  6. Choisissez Ajouter un collecteur.
  7. Dans le champ Nom du marchand, saisissez un nom.

  8. Cliquez sur le champ Type de journal pour afficher la liste des types de journaux et effectuez l'une des opérations suivantes:

    • Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans la zone pour afficher plus de suggestions. Pour obtenir la liste complète des types de journaux compatibles, consultez la page Ensembles de données compatibles.
    • Sélectionnez un type de journal dans la liste.

  9. (Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :

    • Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux collectés par ce collecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez la section Espaces de noms d'éléments.
    • Clé d'étiquette et valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter une ou plusieurs paires clé/valeur d'étiquette. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifiées au niveau du redirecteur. Pour en savoir plus, consultez la section Libellés.
    • Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) correspondant à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le comportement en cas de correspondance consiste à mettre (block) la ligne entrante, puis à continuer à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez la page Filtres d'expressions régulières.

  10. (Facultatif) Développez la section Paramètres avancés et spécifiez l'un des éléments suivants :

    • Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est 10.
    • Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant l'importation groupée du redirecteur. La valeur par défaut est 1048576.

  11. (Facultatif) Tampon du disque : définissez l'option sur activé pour activer la mise en mémoire tampon du disque pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:

    • Chemin d'accès au répertoire:chemin d'accès au répertoire des fichiers écrits.
    • Nombre maximal d'octets de la mémoire tampon du fichier:taille de disque maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est 1073741824. Le maximum est de 4294967296.

  12. Cliquez sur le champ Type de collecteur, puis sélectionnez un type de collecteur. Chaque type de collecteur possède ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres du type de collecteur.

  13. Cliquez sur Envoyer.

Gérer les redirecteurs

Répertorier les redirecteurs d'une instance Google Security Operations

Pour répertorier les redirecteurs dans une instance Google Security Operations, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
  3. Facultatif: triez la liste en cliquant sur la colonne Nom ou Dernière mise à jour.

Vous pouvez également utiliser le champ de recherche pour affiner les résultats de votre liste.

redirecteurs de clones

Le clonage vous permet de créer une copie d'une ou de plusieurs configurations de redirecteurs.

Pour cloner les redirecteurs, procédez comme suit:

  1. Sur la page " redirecteurs", cochez la case de chaque redirecteur que vous souhaitez cloner.

  2. Cliquez sur l'icône du menu Développer .

  3. Sélectionnez Cloner la sélection.

  4. Cliquez sur Clone (Cloner). Une copie de chaque redirecteur est ajoutée.

Modifier une configuration de redirecteur

Pour modifier une configuration de redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.

  3. Maintenez le pointeur sur le redirecteur dont vous souhaitez modifier la configuration. L'icône du menu Développer s'affiche.

  4. Cliquez sur l'icône du menu Développer .

  5. Sélectionnez Modifier la configuration du redirecteur.

  6. Apportez vos modifications à la configuration. Pour en savoir plus, consultez les étapes de configuration de la procédure d'ajout de redirecteurs.

  7. Cliquez sur Envoyer.

Supprimer les redirecteurs

Pour supprimer les redirecteurs, procédez comme suit:

  1. Sur la page " redirecteurs", cochez la case de chaque redirecteur que vous souhaitez supprimer.

  2. Cliquez sur l'icône du menu Développer .

  3. Sélectionnez Supprimer la sélection.

  4. Cliquez sur Supprimer la sélection.

Gérer les collecteurs

Répertorier les collecteurs d'une instance Google Security Operations

Pour répertorier les collecteurs d'une instance Google Security Operations, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
  3. Cliquez sur la flèche de développement à côté de l'en-tête de colonne Nom. Cela développe tous les redirecteurs, en affichant jusqu'à cinq collecteurs pour chacun.
  4. Si un redirecteur a plus de cinq collecteurs, cliquez sur le lien Voir tous les collecteurs.

Modifier la configuration d'un collecteur

Pour modifier la configuration d'un collecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.

  3. Cliquez sur la flèche de développement du redirecteur dont vous souhaitez modifier le collecteur.

  4. S'il y a plus de cinq collecteurs, cliquez sur le lien See all collecteurs (Voir tous les collecteurs).

  5. Maintenez le pointeur sur le collecteur dont vous souhaitez modifier la configuration. Le lien Modifier s'affiche.

  6. Cliquez sur Modifier.

  7. Apportez vos modifications à la configuration. Pour en savoir plus, consultez les étapes de configuration de la procédure d'ajout de collecteurs.

  8. Cliquez sur Envoyer.

Supprimer un collecteur

Pour supprimer un collecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.

  3. Cliquez sur la flèche de développement du redirecteur pour lequel vous souhaitez supprimer le collecteur.

  4. S'il y a plus de cinq collecteurs, cliquez sur le lien See all collecteurs (Voir tous les collecteurs).

  5. Maintenez le pointeur sur le collecteur dont vous souhaitez modifier la configuration. Le lien Supprimer s'affiche.

  6. Cliquez sur le lien Supprimer.

  7. Pour confirmer, cliquez sur le bouton Supprimer.

Télécharger les fichiers de configuration

Le téléchargement d'un redirecteur nécessite au moins un collecteur. Si vous essayez de télécharger un redirecteur sans collecteur, un message d'erreur s'affiche.

Vous pouvez télécharger le fichier de configuration du redirecteur (.conf), le fichier d'authentification (_auth.conf), ou les deux, pour tout redirecteur répertorié dans votre instance Google Security Operations, à condition qu'il dispose d'au moins un collecteur. Après avoir téléchargé les fichiers, vous devez les déployer sur le système Windows ou Linux qui héberge Google Security Operations Forwarder.

Pour télécharger les fichiers de configuration du redirecteur:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.

  3. Sur la page redirecteurs, recherchez le redirecteur souhaité. Si la liste des redirecteurs est longue, utilisez le champ Rechercher.

  4. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez télécharger les fichiers de configuration. L'icône du menu Développer s'affiche.

  5. Cliquez sur l'icône du menu Développer .

  6. Sélectionnez Télécharger.

  7. Dans la boîte de dialogue Download redirecter configuration (Configuration du redirecteur de téléchargement), effectuez l'une des opérations suivantes:

    • Pour télécharger le fichier de configuration du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier .conf.
    • Pour télécharger le fichier d'authentification du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier _auth.conf.
    • Pour télécharger les deux fichiers, cliquez sur Tout télécharger.

Documentation de référence sur les paramètres de configuration

Les configurations du redirecteur incluent un ou plusieurs collecteurs.

Vous pouvez configurer les paramètres suivants au niveau du redirecteur:

Vous pouvez configurer les paramètres suivants au niveau du redirecteur et du collecteur. Pour comprendre le résultat de la configuration du paramètre à ces deux niveaux, consultez la section correspondante.

Vous pouvez configurer les paramètres suivants au niveau du collecteur:

Importer la compression

Par défaut:Activé

Vous pouvez configurer la compression des importations pour un redirecteur, mais pas pour un collecteur. Lorsqu'il est activé, ce paramètre compresse les journaux avant qu'ils ne soient importés dans Google Security Operations. Cela réduit la consommation de bande passante réseau lors du transfert vers Google Security Operations. Toutefois, la compression peut entraîner une augmentation de l'utilisation du processeur.

Le compromis entre l'utilisation de la bande passante et du processeur dépend de nombreux facteurs, y compris le type de données de journaux, la compressibilité de ces données, la disponibilité des cycles de processeur sur l'hôte exécutant le redirecteur et la nécessité de réduire la consommation de bande passante réseau. Par exemple, les journaux textuels sont bien compressés et peuvent permettre de réaliser des économies substantielles en termes de bande passante tout en utilisant peu le processeur. Cependant, les charges utiles chiffrées des paquets bruts ne se compressent pas correctement et entraînent une utilisation plus élevée du processeur.

Espaces de noms des éléments

Par défaut:le champ est vide s'il n'est pas spécifié.

Vous pouvez configurer un espace de noms d'éléments pour un redirecteur, un collecteur ou les deux. Vous pouvez utiliser un espace de noms pour identifier les journaux provenant de segments réseau distincts et résoudre les conflits d'adresses IP qui se chevauchent. Tous les espaces de noms que vous configurez apparaissent avec les éléments associés dans l'interface utilisateur de Google Security Operations. Vous pouvez également rechercher des espaces de noms à l'aide de la fonctionnalité Google Security Operations Search.

Vous pouvez spécifier un espace de noms pour un redirecteur et des espaces de noms différents pour un ou plusieurs collecteurs du redirecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur.

Pour en savoir plus sur l'utilisation des espaces de noms, consultez la section Espaces de noms des éléments.

Étiquettes

Par défaut:les champs sont vides s'ils ne sont pas spécifiés.

Vous pouvez configurer des étiquettes pour un redirecteur et/ou un collecteur. Les étiquettes permettent d'associer des métadonnées arbitraires aux journaux à l'aide de paires clé/valeur. Les étiquettes peuvent être configurées pour un redirecteur complet ou dans un collecteur spécifique d'un redirecteur. Si les deux sont fournis, les libellés sont fusionnés avec les clés du collecteur et prévalent sur les clés du redirecteur en cas de chevauchement des clés.

Filtres d'expressions régulières

Par défaut:les champs sont vides s'ils ne sont pas spécifiés.

Vous pouvez configurer des filtres d'expressions régulières pour un redirecteur, un collecteur ou les deux. Les filtres d'expression régulière vous permettent de bloquer ou d'autoriser les lignes entrantes d'un journal brut qui correspondent à l'expression.

Les filtres utilisent la syntaxe RE2.

Les filtres doivent inclure une expression régulière et, éventuellement, définir un comportement en cas de correspondance. Le comportement par défaut d'une correspondance est "block" (vous pouvez également le configurer explicitement en tant que "block").

Vous pouvez également spécifier des filtres avec le comportement allow. Si vous spécifiez des filtres d'autorisation, le redirecteur bloque tous les journaux qui ne correspondent à aucun filtre d'autorisation.

Il est possible de définir un nombre arbitraire de filtres. Les filtres de blocage prévalent sur les filtres d'autorisation.

Lorsque des filtres sont définis, un nom doit leur être attribué. Les noms des filtres actifs sont signalés à Google Security Operations à l'aide des métriques d'état du redirecteur. Les filtres définis au niveau du redirecteur sont fusionnés avec les filtres définis au niveau du collecteur. Les filtres au niveau du collecteur prévalent en cas de noms contradictoires. Si aucun filtre n'est défini au niveau du redirecteur ou du collecteur, le comportement consiste à tout autoriser.

Paramètres du serveur HTTP pour la collecte syslog

Le redirecteur des opérations de sécurité Google peut être déployé dans un environnement où un équilibreur de charge de couche 4 est installé entre la source de données et l'instance du redirecteur. Cela vous permet de répartir la collecte des journaux sur plusieurs redirecteurs ou d'envoyer les journaux à un autre redirecteur en cas d'échec. Cette fonctionnalité n'est compatible qu'avec le type de collection syslog.

Le redirecteur inclut un serveur HTTP intégré qui répond aux vérifications d'état HTTP de l'équilibreur de charge. Le serveur HTTP permet également de s'assurer que les journaux ne sont pas perdus lors du démarrage ou de l'arrêt d'un redirecteur.

Les paramètres de serveur des configurations de redirecteur permettent de définir des délais avant expiration et des codes d'état renvoyés en réponse aux vérifications d'état reçues dans les déploiements basés sur le planificateur de conteneurs et l'orchestration, ainsi que par les équilibreurs de charge traditionnels.

Utilisez les chemins d'URL suivants pour les vérifications d'état, d'aptitude et d'activité. Les valeurs <host:port> sont définies dans la configuration du redirecteur.

  • http://<host:port>/meta/available: vérifications d'activité pour les planificateurs/orchestrateurs de conteneurs, tels que Kubernetes.
  • http://<host:port>/meta/ready: vérifications d'aptitude et vérifications d'état traditionnelles de l'équilibreur de charge.
Paramètre Description
Délai progressif Durée pendant laquelle de nouvelles connexions sont toujours acceptées après que le redirecteur a renvoyé un état "Non prêt" en réponse à une vérification de l'état'état. C'est également le délai d'attente entre la réception d'un signal pour s'arrêter et le début de l'arrêt du serveur lui-même. Cela laisse à l'équilibreur de charge le temps de supprimer le redirecteur du pool.

Les valeurs valides sont exprimées en secondes. Par exemple, pour spécifier 10 secondes, saisissez 10.. Les valeurs décimales ne sont pas autorisées.

Par défaut:15 secondes
Délai avant expiration du drainage Durée pendant laquelle le redirecteur attend que les connexions actives se ferment d'elles-mêmes avant d'être fermées par le serveur. Par exemple, pour spécifier 5 secondes, saisissez 5.. Les valeurs décimales ne sont pas autorisées.

Par défaut:10 secondes
Port Numéro de port sur lequel le serveur HTTP écoute les vérifications d'état de l'équilibreur de charge. La valeur doit être comprise entre 1024 et 65535.

Par défaut : 8080
Adresse IP/Nom d'hôte Adresse IP, ou nom d'hôte pouvant être résolu en adresse IP, que le serveur doit écouter.

Par défaut:0.0.0.0 (système local)
Délai de lecture Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Durée maximale autorisée pour lire l'intégralité de la requête, à la fois l'en-tête et le corps. Vous pouvez définir à la fois le champ Lecture du délai avant expiration et le champ Délai de lecture de l'en-tête.

Par défaut:3 secondes
Délai de lecture de l'en-tête Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Durée maximale autorisée pour lire les en-têtes de requête. Le délai de lecture de la connexion est réinitialisé après la lecture de l'en-tête.

Par défaut:3 secondes
Délai d'expiration en écriture Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Délai maximal autorisé pour l'envoi d'une réponse. Il est réinitialisé lorsqu'un nouvel en-tête de requête est lu.

Par défaut:3 secondes
Délai d'inactivité Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Délai maximal d'attente de la requête suivante lorsque les connexions inactives sont activées. Si le champ idle timeout est défini sur zéro, la valeur du champ read timeout est utilisée. Si les deux valeurs sont égales à zéro, le champ du délai avant expiration de l'en-tête de lecture est utilisé.

Par défaut:3 secondes
Code d'état disponible Code d'état renvoyé par le redirecteur lorsqu'une vérification d'activité est reçue et que le redirecteur est disponible. Les programmeurs et les orchestrateurs de conteneurs, tels que Kubernetes, envoient souvent des vérifications d'activité.

Par défaut:204
Code d'état d'aptitude Code d'état renvoyé par le redirecteur lorsqu'il est prêt à accepter le trafic dans l'une des situations suivantes:
  • Une vérification d'aptitude est reçue d'un programmeur ou d'un orchestrateur de conteneurs, tel que Kubernetes.
  • Une vérification de l'état est envoyée par un équilibreur de charge traditionnel.
Par défaut:204
Code d'état "Non prêt" Code d'état renvoyé par le redirecteur lorsqu'il n'est pas prêt à accepter le trafic.

Par défaut:503

Type de journal

Pour obtenir la liste complète des types de journaux compatibles, consultez la page Ensembles de données compatibles.

Mise en mémoire tampon du disque

La mise en mémoire tampon du disque vous permet de mettre en mémoire tampon les messages en attente sur le disque, par opposition à la mémoire. Les messages en attente peuvent être stockés en cas de plantage du redirecteur ou de l'hôte sous-jacent. Sachez que l'activation de la mise en mémoire tampon du disque peut affecter les performances.

Si la mise en mémoire tampon du disque est désactivée, le collecteur utilise 1 Go de mémoire (RAM) pour les journaux qu'il collecte. Vous pouvez spécifier la valeur maximale à l'aide du paramètre Max file buffer bytes (Nombre maximal d'octets de tampon de fichier) dans la configuration du collecteur. Cela détermine la taille de RAM maximale utilisée par le collecteur avant que les messages en attente soient mis en mémoire tampon sur le disque. La valeur par défaut est 1073741824. Le nombre maximal est 4294967296.

Si vous exécutez le redirecteur à l'aide de Docker, Google recommande d'installer un volume distinct de votre volume de configuration à des fins d'isolation. De plus, chaque entrée doit être isolée avec son propre répertoire ou volume pour éviter les conflits.

Paramètres du type de collecteur

Chaque configuration de collecteur doit spécifier un type de collecteur. Cette section décrit les types de collecteurs et leurs paramètres.

Fichier

Utilisez le type de collecteur file pour importer des journaux à partir d'un seul fichier journal.

Champ Champ obligatoire ou facultatif pour ce type Description
Chemin d'accès au fichier Obligatoire Chemin d'accès et nom de fichier du répertoire. Par exemple:

/opt/chronicle/edr/output/sample.txt

Kafka

Utilisez le type de collecteur kafka pour ingérer les données des sujets Kafka. Les groupes de consommateurs Kafka vous permettent de déployer jusqu'à trois redirecteurs Google Security Operations afin d'extraire des données du même sujet Kafka. Pour en savoir plus, consultez Kafka. Pour en savoir plus sur les groupes de consommateurs Kafka, consultez la page Consommateur Kafka.

Champ Obligatoire ou facultatif pour ce type Description
Nom d'utilisateur Obligatoire Nom d'utilisateur d'une identité utilisée pour l'authentification.
Mot de passe Obligatoire Mot de passe du compte associé au nom d'utilisateur.
Thème Obligatoire Sujet Kafka à partir duquel ingérer des données.
ID du groupe Obligatoire Un ID de groupe
Délai avant expiration Obligatoire Nombre maximal de secondes d'attente d'un appel jusqu'à la fin de la connexion.

Par défaut : 60
Courtiers Facultatif Saisissez un courtier dans la zone de texte. Par exemple:

broker-1:9092


Cliquez sur Ajouter un autre courtier pour ajouter un courtier.

Remarque:Toutes les valeurs sont remplacées lors d'une opération de mise à jour. Par conséquent, pour mettre à jour la liste des courtiers afin d'ajouter un courtier, spécifiez tous les courtiers existants et le nouveau courtier.
Certificat TLS Obligatoire Chemin d'accès et nom de fichier du certificat. Par exemple:

/path/to/cert.pem

Clé de certificat TLS Obligatoire Chemin d'accès et nom de fichier de la clé de certificat. Par exemple:

/path/to/cert.key

Version minimale de TLS Obligatoire Version minimale de TLS.

Exemple:TLSv1_3
Ignorer la validation TLS non sécurisée Obligatoire Active la validation de la certification SSL.

Par défaut:désactivé

PPCap

Cette section aborde les sujets suivants:

Utiliser pcap sous Windows

Le redirecteur Google Security Operations peut capturer des paquets directement à partir d'une interface réseau à l'aide de Npcap sur les systèmes Windows.

Contactez l'assistance Google Security Operations pour mettre à jour votre fichier de configuration du redirecteur Google Security Operations afin de permettre la capture de paquets.

Pour exécuter un redirecteur de capture de paquets (PCAP), vous avez besoin des éléments suivants:

  • Installez Npcap sur l'hôte Microsoft Windows.
  • Sur l'hôte Windows, accordez les droits racine ou d'administrateur du redirecteur Google Security Operations pour surveiller l'interface réseau.
  • Aucune option de ligne de commande n'est nécessaire.
  • Lors de l'installation de Npcap, activez le mode de compatibilité WinPcap.
Utiliser pcap sous Linux

Utilisez le type de collecteur pcap pour capturer des paquets directement à partir d'une interface réseau à l'aide de libcap sous Linux. Pour plus d'informations sur libcap, consultez la page du manuel concernant libcap – Linux.

Les paquets sont capturés et envoyés à Google Security Operations à la place des entrées de journal. La capture de paquets n'est gérée qu'à partir d'une interface locale.

Google Security Operations configure le redirecteur Google Security Operations avec l'expression de filtre de paquets de Berkeley (BPF) utilisée lors de la capture de paquets (par exemple, sur le port 53 et non sur l'hôte local). Pour en savoir plus, consultez la page Filtres de paquets de Berkeley.

Paramètres du collecteur pour pcap

Les mêmes paramètres de configuration de collecteur s'appliquent à un hôte Linux ou Windows.

Champ Obligatoire ou facultatif pour ce type Description
Interface réseau Obligatoire Interface permettant d'écouter les données PCAP.

Remarque:Pour un hôte Windows, il s'agit du GUID de l'interface utilisée pour capturer les paquets. Pour obtenir cette valeur, exécutez getmac.exe sur la machine sur laquelle Google Security Operations Forwarder est installé (le serveur ou la machine qui écoute sur le port span). La sortie getmac.exe commence par \Device\Tcpip_. Remplacez-la par \Device\NPF_.

Exemple:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtre de paquets Berkeley Obligatoire Filtre de paquet de Berkeley (BPF) pour pcap.

Exemple:udp port 53

Splunk

Utilisez le type de collecteur splunk pour collecter des données Splunk.

Champ Obligatoire ou facultatif pour ce type Description
Nom d'utilisateur Obligatoire Nom d'utilisateur d'une identité utilisée pour l'authentification.
Mot de passe Obligatoire Mot de passe du compte identifié par le nom d'utilisateur.
Hôte Obligatoire Hôte ou adresse IP de l'API REST Splunk.

Exemple:https://10.0.113.15
Port Obligatoire Port de l'API REST Splunk.
Taille minimale de la fenêtre Obligatoire Période minimale en secondes transmise à la requête Splunk. Ce paramètre est utilisé pour le réglage si l'exigence consiste à modifier la fréquence à laquelle le serveur Splunk est interrogé lorsque le redirecteur est à l'état stable. De plus, en cas de décalage, l'appel d'API Splunk peut être effectué plusieurs fois.

Par défaut:10
Taille maximale de la fenêtre Obligatoire Période maximale (en secondes) transmise à la requête Splunk. Ce paramètre est utilisé pour le réglage en cas de décalage ou lorsque des données supplémentaires sont requises par requête.

Modifiez ce paramètre (égal ou supérieur à) lorsque vous modifiez le paramètre minimal. Des délais peuvent survenir lorsqu'un appel de requête Splunk dure plus longtemps que la taille de fenêtre maximale.

Remarque : Les périodes ne se chevauchent jamais lorsque le serveur Splunk est interrogé. La période interrogée est toujours comprise entre les paramètres de fenêtre minimal et maximal.

Par défaut:30
Chaîne de requête Obligatoire Requête utilisée pour filtrer les enregistrements dans Splunk.

Exemple:search index=* sourcetype=dns
Mode de requête Obligatoire Mode de requête pour Splunk

Exemple:realtime
Certificat ignoré Facultatif Si cette option est activée, le certificat est ignoré.

Par défaut:désactivé

Syslog

Utilisez le type de collecteur syslog pour collecter des données syslog. Vous pouvez configurer n'importe quel appareil ou serveur compatible avec l'envoi de données syslog via une connexion TCP ou UDP pour transmettre ses données à Google Security Operations Forwarder. Vous pouvez contrôler les données exactes que l'appareil ou le serveur envoie à Google Security Operations Forwarder. Le redirecteur Google Security Operations peut ensuite transférer les données à Google Security Operations.

Champ Obligatoire ou facultatif pour ce type Description
Protocole Obligatoire Protocole de connexion utilisé par le collecteur pour écouter les données syslog. Les valeurs possibles sont les suivantes :

  • TCP
  • UDP
Adresse Obligatoire Adresse IP ou nom d'hôte cible où réside le collecteur et écoute les données syslog.
Port Obligatoire Port cible sur lequel le collecteur réside et écoute les données syslog.
Taille de la mémoire tampon Obligatoire Taille en octets du tampon du socket.

La valeur par défaut pour le protocole TCP est 65536.
La valeur par défaut pour le protocole UDP est 8192.
Délai de connexion Obligatoire Nombre de secondes d'inactivité après lequel la connexion TCP est interrompue.

Par défaut:60
Certificat TLS Obligatoire Chemin d'accès et nom de fichier du certificat. Par exemple:

/path/to/cert.pem

Clé de certificat TLS Obligatoire Chemin d'accès et nom de fichier de la clé de certificat. Par exemple:

/path/to/cert.key

Version minimale de TLS Obligatoire Version minimale de TLS.

Exemple:TLSv1_3
Ignorer la validation TLS non sécurisée Obligatoire Active la validation de la certification SSL.

Par défaut:désactivé

WebProxy

En plus de spécifier les valeurs de champ pour Google SecOps Forwarder sous Windows, installez la bibliothèque Npcap sur l'ordinateur ou l'appareil Windows. Cette opération n'est pas requise pour Google SecOps Forwarder sur les systèmes Linux.

Champ Obligatoire ou facultatif pour ce type Description
Interface réseau Obligatoire Interface permettant d'écouter les données du proxy Web.
Filtre de paquets Berkeley Obligatoire Filtre de paquet de Berkeley (BPF) pour le proxy Web.

Exemple:udp port 53

Dépannage

Le redirecteur ne reçoit pas les données Syslog

Assurez-vous que les paramètres syslog du collecteur sont configurés de façon à utiliser le protocole de connexion approprié (TCP ou UDP) pour les données entrantes. Pour en savoir plus, consultez Modifier un collecteur.