Gérer les configurations du redirecteur via l'interface utilisateur de Google Security Operations
Cette page explique comment créer, gérer et télécharger des configurations de redirecteurs à l'aide de l'interface utilisateur (UI) de Google Security Operations. Vous pouvez également effectuer ces tâches de manière automatisée à l'aide de l'API Forwarder Management.
Conventions d'attribution de noms
Ce document utilise les conventions d'attribution de noms suivantes:
- Google Security Operations Forwarder: composant logiciel déployé.
- forwarder: nom court d'une configuration de redirecteur lorsqu'elle est stockée dans votre instance Google Security Operations.
- collector: nom court d'une configuration de collecteur lorsqu'elle est stockée dans votre instance Google Security Operations.
Ajouter des redirecteurs
L'ajout d'un redirecteur est la première étape de la configuration d'un redirecteur Google Security Operations. L'ajout d'un redirecteur vous permet d'effectuer les opérations suivantes:
- Nommez une configuration de redirecteur.
- Spécifiez les valeurs de configuration du redirecteur.
L'ajout d'un redirecteur crée une configuration de redirecteur partiellement complète. Pour terminer la configuration du redirecteur, vous devez ajouter un collecteur. Après avoir ajouté au moins un collecteur, vous pouvez télécharger la configuration du redirecteur et la déployer sur une machine ou un appareil sur lequel Google Security Operations Forwarder est installé.
Au lieu d'ajouter un redirecteur, vous pouvez cloner un ou plusieurs redirecteurs existants. Pour en savoir plus, consultez la section Cloner les redirecteurs.
Pour ajouter un redirecteur, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires.
- Cliquez sur Ajouter un redirecteur.
- Dans le champ Nom du redirecteur, saisissez un nom.
(Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :
- Upload compression (Importer la compression) : sélectionnez Yes (Oui) pour compresser les données des journaux avant de les importer dans Google Security Operations. La valeur par défaut est No. Pour en savoir plus sur la compression de données, consultez la section Compression d'importation.
- Espace de noms d'élément:saisissez un espace de noms qui identifie les journaux collectés par ce redirecteur. Cet espace de noms sera appliqué à tous les collecteurs ajoutés à ce redirecteur, sauf si vous spécifiez un espace de noms pour un collecteur au niveau du collecteur. Si vous spécifiez un espace de noms à la fois au niveau du redirecteur et au niveau du collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez Espaces de noms d'éléments.
- Clé de l'étiquette et Valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur Ajouter une étiquette pour ajouter une ou plusieurs paires clé/valeur de libellé. Il s'agit d'un paramètre global qui s'applique aux collecteurs du redirecteur et du redirecteur, sauf s'il est ignoré au niveau du collecteur. Pour en savoir plus, consultez la section Libellés.
- Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) sur chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être
allow
oublock
en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre estunspecified
, le comportement en cas de correspondance consiste à mettre (block
) la ligne entrante, puis à continuer à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez la page Filtres d'expressions régulières.
(Collection Syslog uniquement) Facultatif: Activez l'option Paramètres du serveur pour configurer le serveur HTTP intégré du redirecteur, qui peut être utilisé pour configurer les options d'équilibrage de charge et de haute disponibilité pour la collecte syslog sous Linux. Pour plus d'informations sur ces paramètres, consultez la section Paramètres de serveur HTTP pour la collecte syslog.
Cliquez sur Envoyer.
Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
Dans le champ Nom du marchand, saisissez un nom.
Cliquez sur le champ Type de journal pour afficher la liste des types de journaux et effectuez l'une des opérations suivantes:
- Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans la zone pour afficher plus de suggestions. Pour obtenir la liste complète des types de journaux compatibles, consultez la page Ensembles de données compatibles.
- Sélectionnez un type de journal dans la liste.
(Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :
- Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux collectés par ce collecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez la section Espaces de noms d'éléments.
- Clé d'étiquette et valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter une ou plusieurs paires clé/valeur d'étiquette. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifiées au niveau du redirecteur. Pour en savoir plus, consultez la section Libellés.
- Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) correspondant à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être
allow
oublock
en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre estunspecified
, le comportement en cas de correspondance consiste à mettre (block
) la ligne entrante, puis à continuer à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez la page Filtres d'expressions régulières.
(Facultatif) Développez la section Paramètres avancés et spécifiez l'un des éléments suivants :
- Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est
10
. - Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant l'importation groupée du redirecteur. La valeur par défaut est
1048576
.
- Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est
(Facultatif) Tampon du disque : définissez l'option sur activé pour activer la mise en mémoire tampon du disque pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:
- Chemin d'accès au répertoire:chemin d'accès au répertoire des fichiers écrits.
- Nombre maximal d'octets de la mémoire tampon du fichier:taille de disque maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est
1073741824
. Le maximum est de4294967296
.
Cliquez sur le champ Type de collecteur, puis sélectionnez un type de collecteur. Chaque type de collecteur possède ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres du type de collecteur.
Cliquez sur Envoyer.
Ajouter des collecteurs
Vous pouvez ajouter un ou plusieurs collecteurs à un redirecteur existant.
L'ajout d'un collecteur vous permet d'effectuer les opérations suivantes:
- Nommez le collecteur.
- Spécifiez le type de journal à collecter, par exemple Pan Firewall, Cisco ASA Firewall, etc.
- Spécifiez le type de collecteur: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
- Spécifiez les valeurs de configuration du collecteur.
Après avoir ajouté au moins un collecteur à un redirecteur, vous pouvez télécharger la configuration du redirecteur et la déployer sur une machine ou un appareil sur lequel Google Security Operations Forwarder est installé.
Pour ajouter un collecteur à un redirecteur, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires.
- Sur la page redirecteurs, recherchez le redirecteur souhaité. Si la liste des redirecteurs est longue, utilisez le champ Rechercher.
- Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez ajouter un collecteur. L'icône du menu Développer s'affiche.
- Cliquez sur l'icône du menu Développer .
- Choisissez Ajouter un collecteur.
- Dans le champ Nom du marchand, saisissez un nom.
Cliquez sur le champ Type de journal pour afficher la liste des types de journaux et effectuez l'une des opérations suivantes:
- Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans la zone pour afficher plus de suggestions. Pour obtenir la liste complète des types de journaux compatibles, consultez la page Ensembles de données compatibles.
- Sélectionnez un type de journal dans la liste.
(Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :
- Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux collectés par ce collecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez la section Espaces de noms d'éléments.
- Clé d'étiquette et valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter une ou plusieurs paires clé/valeur d'étiquette. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifiées au niveau du redirecteur. Pour en savoir plus, consultez la section Libellés.
- Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) correspondant à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être
allow
oublock
en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre estunspecified
, le comportement en cas de correspondance consiste à mettre (block
) la ligne entrante, puis à continuer à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez la page Filtres d'expressions régulières.
(Facultatif) Développez la section Paramètres avancés et spécifiez l'un des éléments suivants :
- Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est
10
. - Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant l'importation groupée du redirecteur. La valeur par défaut est
1048576
.
- Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est
(Facultatif) Tampon du disque : définissez l'option sur activé pour activer la mise en mémoire tampon du disque pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:
- Chemin d'accès au répertoire:chemin d'accès au répertoire des fichiers écrits.
- Nombre maximal d'octets de la mémoire tampon du fichier:taille de disque maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est
1073741824
. Le maximum est de4294967296
.
Cliquez sur le champ Type de collecteur, puis sélectionnez un type de collecteur. Chaque type de collecteur possède ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres du type de collecteur.
Cliquez sur Envoyer.
Gérer les redirecteurs
Répertorier les redirecteurs d'une instance Google Security Operations
Pour répertorier les redirecteurs dans une instance Google Security Operations, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
- Facultatif: triez la liste en cliquant sur la colonne Nom ou Dernière mise à jour.
Vous pouvez également utiliser le champ de recherche pour affiner les résultats de votre liste.
redirecteurs de clones
Le clonage vous permet de créer une copie d'une ou de plusieurs configurations de redirecteurs.
Pour cloner les redirecteurs, procédez comme suit:
Sur la page " redirecteurs", cochez la case de chaque redirecteur que vous souhaitez cloner.
Cliquez sur l'icône du menu Développer
.Sélectionnez Cloner la sélection.
Cliquez sur Clone (Cloner). Une copie de chaque redirecteur est ajoutée.
Modifier une configuration de redirecteur
Pour modifier une configuration de redirecteur, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
Maintenez le pointeur sur le redirecteur dont vous souhaitez modifier la configuration. L'icône du menu Développer
s'affiche.Cliquez sur l'icône du menu Développer
.Sélectionnez Modifier la configuration du redirecteur.
Apportez vos modifications à la configuration. Pour en savoir plus, consultez les étapes de configuration de la procédure d'ajout de redirecteurs.
Cliquez sur Envoyer.
Supprimer les redirecteurs
Pour supprimer les redirecteurs, procédez comme suit:
Sur la page " redirecteurs", cochez la case de chaque redirecteur que vous souhaitez supprimer.
Cliquez sur l'icône du menu Développer
.Sélectionnez Supprimer la sélection.
Cliquez sur Supprimer la sélection.
Gérer les collecteurs
Répertorier les collecteurs d'une instance Google Security Operations
Pour répertorier les collecteurs d'une instance Google Security Operations, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
- Cliquez sur la flèche de développement à côté de l'en-tête de colonne Nom. Cela développe tous les redirecteurs, en affichant jusqu'à cinq collecteurs pour chacun.
- Si un redirecteur a plus de cinq collecteurs, cliquez sur le lien Voir tous les collecteurs.
Modifier la configuration d'un collecteur
Pour modifier la configuration d'un collecteur, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
Cliquez sur la
flèche de développement du redirecteur dont vous souhaitez modifier le collecteur.S'il y a plus de cinq collecteurs, cliquez sur le lien See all collecteurs (Voir tous les collecteurs).
Maintenez le pointeur sur le collecteur dont vous souhaitez modifier la configuration. Le lien Modifier s'affiche.
Cliquez sur Modifier.
Apportez vos modifications à la configuration. Pour en savoir plus, consultez les étapes de configuration de la procédure d'ajout de collecteurs.
Cliquez sur Envoyer.
Supprimer un collecteur
Pour supprimer un collecteur, procédez comme suit:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
Cliquez sur la
flèche de développement du redirecteur pour lequel vous souhaitez supprimer le collecteur.S'il y a plus de cinq collecteurs, cliquez sur le lien See all collecteurs (Voir tous les collecteurs).
Maintenez le pointeur sur le collecteur dont vous souhaitez modifier la configuration. Le lien Supprimer s'affiche.
Cliquez sur le lien Supprimer.
Pour confirmer, cliquez sur le bouton Supprimer.
Télécharger les fichiers de configuration
Le téléchargement d'un redirecteur nécessite au moins un collecteur. Si vous essayez de télécharger un redirecteur sans collecteur, un message d'erreur s'affiche.
Vous pouvez télécharger le fichier de configuration du redirecteur (.conf
), le fichier d'authentification (_auth.conf
), ou les deux, pour tout redirecteur répertorié dans votre instance Google Security Operations, à condition qu'il dispose d'au moins un collecteur. Après avoir téléchargé les fichiers, vous devez les déployer sur le système Windows ou Linux qui héberge Google Security Operations Forwarder.
Pour télécharger les fichiers de configuration du redirecteur:
- Dans la barre de navigation, cliquez sur Paramètres.
- Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
Sur la page redirecteurs, recherchez le redirecteur souhaité. Si la liste des redirecteurs est longue, utilisez le champ Rechercher.
Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez télécharger les fichiers de configuration. L'icône du menu Développer
s'affiche.Cliquez sur l'icône du menu Développer
.Sélectionnez Télécharger.
Dans la boîte de dialogue Download redirecter configuration (Configuration du redirecteur de téléchargement), effectuez l'une des opérations suivantes:
- Pour télécharger le fichier de configuration du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier
.conf
. - Pour télécharger le fichier d'authentification du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier
_auth.conf
. - Pour télécharger les deux fichiers, cliquez sur Tout télécharger.
- Pour télécharger le fichier de configuration du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier
Documentation de référence sur les paramètres de configuration
Les configurations du redirecteur incluent un ou plusieurs collecteurs.
Vous pouvez configurer les paramètres suivants au niveau du redirecteur:
Vous pouvez configurer les paramètres suivants au niveau du redirecteur et du collecteur. Pour comprendre le résultat de la configuration du paramètre à ces deux niveaux, consultez la section correspondante.
- Espaces de noms des éléments
- Libellés
- Filtres d'expressions régulières
- Paramètres du serveur HTTP pour la collecte syslog
Vous pouvez configurer les paramètres suivants au niveau du collecteur:
Importer la compression
Par défaut:Activé
Vous pouvez configurer la compression des importations pour un redirecteur, mais pas pour un collecteur. Lorsqu'il est activé, ce paramètre compresse les journaux avant qu'ils ne soient importés dans Google Security Operations. Cela réduit la consommation de bande passante réseau lors du transfert vers Google Security Operations. Toutefois, la compression peut entraîner une augmentation de l'utilisation du processeur.
Le compromis entre l'utilisation de la bande passante et du processeur dépend de nombreux facteurs, y compris le type de données de journaux, la compressibilité de ces données, la disponibilité des cycles de processeur sur l'hôte exécutant le redirecteur et la nécessité de réduire la consommation de bande passante réseau. Par exemple, les journaux textuels sont bien compressés et peuvent permettre de réaliser des économies substantielles en termes de bande passante tout en utilisant peu le processeur. Cependant, les charges utiles chiffrées des paquets bruts ne se compressent pas correctement et entraînent une utilisation plus élevée du processeur.
Espaces de noms des éléments
Par défaut:le champ est vide s'il n'est pas spécifié.
Vous pouvez configurer un espace de noms d'éléments pour un redirecteur, un collecteur ou les deux. Vous pouvez utiliser un espace de noms pour identifier les journaux provenant de segments réseau distincts et résoudre les conflits d'adresses IP qui se chevauchent. Tous les espaces de noms que vous configurez apparaissent avec les éléments associés dans l'interface utilisateur de Google Security Operations. Vous pouvez également rechercher des espaces de noms à l'aide de la fonctionnalité Google Security Operations Search.
Vous pouvez spécifier un espace de noms pour un redirecteur et des espaces de noms différents pour un ou plusieurs collecteurs du redirecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur.
Pour en savoir plus sur l'utilisation des espaces de noms, consultez la section Espaces de noms des éléments.
Étiquettes
Par défaut:les champs sont vides s'ils ne sont pas spécifiés.
Vous pouvez configurer des étiquettes pour un redirecteur et/ou un collecteur. Les étiquettes permettent d'associer des métadonnées arbitraires aux journaux à l'aide de paires clé/valeur. Les étiquettes peuvent être configurées pour un redirecteur complet ou dans un collecteur spécifique d'un redirecteur. Si les deux sont fournis, les libellés sont fusionnés avec les clés du collecteur et prévalent sur les clés du redirecteur en cas de chevauchement des clés.
Filtres d'expressions régulières
Par défaut:les champs sont vides s'ils ne sont pas spécifiés.
Vous pouvez configurer des filtres d'expressions régulières pour un redirecteur, un collecteur ou les deux. Les filtres d'expression régulière vous permettent de bloquer ou d'autoriser les lignes entrantes d'un journal brut qui correspondent à l'expression.
Les filtres utilisent la syntaxe RE2.
Les filtres doivent inclure une expression régulière et, éventuellement, définir un comportement en cas de correspondance. Le comportement par défaut d'une correspondance est "block" (vous pouvez également le configurer explicitement en tant que "block").
Vous pouvez également spécifier des filtres avec le comportement allow. Si vous spécifiez des filtres d'autorisation, le redirecteur bloque tous les journaux qui ne correspondent à aucun filtre d'autorisation.
Il est possible de définir un nombre arbitraire de filtres. Les filtres de blocage prévalent sur les filtres d'autorisation.
Lorsque des filtres sont définis, un nom doit leur être attribué. Les noms des filtres actifs sont signalés à Google Security Operations à l'aide des métriques d'état du redirecteur. Les filtres définis au niveau du redirecteur sont fusionnés avec les filtres définis au niveau du collecteur. Les filtres au niveau du collecteur prévalent en cas de noms contradictoires. Si aucun filtre n'est défini au niveau du redirecteur ou du collecteur, le comportement consiste à tout autoriser.
Paramètres du serveur HTTP pour la collecte syslog
Le redirecteur des opérations de sécurité Google peut être déployé dans un environnement où un équilibreur de charge de couche 4 est installé entre la source de données et l'instance du redirecteur. Cela vous permet de répartir la collecte des journaux sur plusieurs redirecteurs ou d'envoyer les journaux à un autre redirecteur en cas d'échec. Cette fonctionnalité n'est compatible qu'avec le type de collection syslog.
Le redirecteur inclut un serveur HTTP intégré qui répond aux vérifications d'état HTTP de l'équilibreur de charge. Le serveur HTTP permet également de s'assurer que les journaux ne sont pas perdus lors du démarrage ou de l'arrêt d'un redirecteur.
Les paramètres de serveur des configurations de redirecteur permettent de définir des délais avant expiration et des codes d'état renvoyés en réponse aux vérifications d'état reçues dans les déploiements basés sur le planificateur de conteneurs et l'orchestration, ainsi que par les équilibreurs de charge traditionnels.
Utilisez les chemins d'URL suivants pour les vérifications d'état, d'aptitude et d'activité. Les valeurs <host:port>
sont définies dans la configuration du redirecteur.
- http://
<host:port>
/meta/available: vérifications d'activité pour les planificateurs/orchestrateurs de conteneurs, tels que Kubernetes. - http://
<host:port>
/meta/ready: vérifications d'aptitude et vérifications d'état traditionnelles de l'équilibreur de charge.
Paramètre | Description |
---|---|
Délai progressif | Durée pendant laquelle de nouvelles connexions sont toujours acceptées après que le redirecteur a renvoyé un état "Non prêt" en réponse à une vérification de l'état'état.
C'est également le délai d'attente entre la réception d'un signal pour s'arrêter et le début de l'arrêt du serveur lui-même. Cela laisse à l'équilibreur de charge le temps de supprimer le redirecteur du pool. Les valeurs valides sont exprimées en secondes. Par exemple, pour spécifier 10 secondes, saisissez 10. . Les valeurs décimales ne sont pas autorisées.Par défaut:15 secondes |
Délai avant expiration du drainage | Durée pendant laquelle le redirecteur attend que les connexions actives se ferment d'elles-mêmes avant d'être fermées par le serveur. Par exemple, pour spécifier 5 secondes, saisissez 5. . Les valeurs décimales ne sont pas autorisées.Par défaut:10 secondes |
Port | Numéro de port sur lequel le serveur HTTP écoute les vérifications d'état de l'équilibreur de charge. La valeur doit être comprise entre 1024 et 65535. Par défaut : 8080 |
Adresse IP/Nom d'hôte | Adresse IP, ou nom d'hôte pouvant être résolu en adresse IP, que le serveur doit écouter. Par défaut:0.0.0.0 (système local) |
Délai de lecture | Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Durée maximale autorisée pour lire l'intégralité de la requête, à la fois l'en-tête et le corps. Vous pouvez définir à la fois le champ Lecture du délai avant expiration et le champ Délai de lecture de l'en-tête. Par défaut:3 secondes |
Délai de lecture de l'en-tête | Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Durée maximale autorisée pour lire les en-têtes de requête. Le délai de lecture de la connexion est réinitialisé après la lecture de l'en-tête. Par défaut:3 secondes |
Délai d'expiration en écriture | Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Délai maximal autorisé pour l'envoi d'une réponse. Il est réinitialisé lorsqu'un nouvel en-tête de requête est lu. Par défaut:3 secondes |
Délai d'inactivité | Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Délai maximal d'attente de la requête suivante lorsque les connexions inactives sont activées. Si le champ idle
timeout est défini sur zéro, la valeur du champ read
timeout est utilisée. Si les deux valeurs sont égales à zéro, le champ du délai avant expiration de l'en-tête de lecture est utilisé. Par défaut:3 secondes |
Code d'état disponible | Code d'état renvoyé par le redirecteur lorsqu'une vérification d'activité est reçue et que le redirecteur est disponible. Les programmeurs et les orchestrateurs de conteneurs, tels que Kubernetes, envoient souvent des vérifications d'activité. Par défaut:204 |
Code d'état d'aptitude | Code d'état renvoyé par le redirecteur lorsqu'il est prêt à accepter le trafic dans l'une des situations suivantes:
|
Code d'état "Non prêt" | Code d'état renvoyé par le redirecteur lorsqu'il n'est pas prêt à accepter le trafic. Par défaut:503 |
Type de journal
Pour obtenir la liste complète des types de journaux compatibles, consultez la page Ensembles de données compatibles.
Mise en mémoire tampon du disque
La mise en mémoire tampon du disque vous permet de mettre en mémoire tampon les messages en attente sur le disque, par opposition à la mémoire. Les messages en attente peuvent être stockés en cas de plantage du redirecteur ou de l'hôte sous-jacent. Sachez que l'activation de la mise en mémoire tampon du disque peut affecter les performances.
Si la mise en mémoire tampon du disque est désactivée, le collecteur utilise 1 Go de mémoire (RAM) pour les journaux qu'il collecte. Vous pouvez spécifier la valeur maximale à l'aide du paramètre Max file buffer bytes (Nombre maximal d'octets de tampon de fichier) dans la configuration du collecteur. Cela détermine la taille de RAM maximale utilisée par le collecteur avant que les messages en attente soient mis en mémoire tampon sur le disque. La valeur par défaut est 1073741824. Le nombre maximal est 4294967296.
Si vous exécutez le redirecteur à l'aide de Docker, Google recommande d'installer un volume distinct de votre volume de configuration à des fins d'isolation. De plus, chaque entrée doit être isolée avec son propre répertoire ou volume pour éviter les conflits.
Paramètres du type de collecteur
Chaque configuration de collecteur doit spécifier un type de collecteur. Cette section décrit les types de collecteurs et leurs paramètres.
Fichier
Utilisez le type de collecteur file
pour importer des journaux à partir d'un seul fichier journal.
Champ | Champ obligatoire ou facultatif pour ce type | Description |
---|---|---|
Chemin d'accès au fichier | Obligatoire | Chemin d'accès et nom de fichier du répertoire. Par exemple:/opt/chronicle/edr/output/sample.txt |
Kafka
Utilisez le type de collecteur kafka
pour ingérer les données des sujets Kafka. Les groupes de consommateurs Kafka vous permettent de déployer jusqu'à trois redirecteurs Google Security Operations afin d'extraire des données du même sujet Kafka. Pour en savoir plus, consultez Kafka.
Pour en savoir plus sur les groupes de consommateurs Kafka, consultez la page Consommateur Kafka.
Champ | Obligatoire ou facultatif pour ce type | Description |
---|---|---|
Nom d'utilisateur | Obligatoire | Nom d'utilisateur d'une identité utilisée pour l'authentification. |
Mot de passe | Obligatoire | Mot de passe du compte associé au nom d'utilisateur. |
Thème | Obligatoire | Sujet Kafka à partir duquel ingérer des données. |
ID du groupe | Obligatoire | Un ID de groupe |
Délai avant expiration | Obligatoire | Nombre maximal de secondes d'attente d'un appel jusqu'à la fin de la connexion. Par défaut : 60 |
Courtiers | Facultatif | Saisissez un courtier dans la zone de texte. Par exemple:broker-1:9092 Cliquez sur Ajouter un autre courtier pour ajouter un courtier. Remarque:Toutes les valeurs sont remplacées lors d'une opération de mise à jour. Par conséquent, pour mettre à jour la liste des courtiers afin d'ajouter un courtier, spécifiez tous les courtiers existants et le nouveau courtier. |
Certificat TLS | Obligatoire | Chemin d'accès et nom de fichier du certificat. Par exemple:/path/to/cert.pem |
Clé de certificat TLS | Obligatoire | Chemin d'accès et nom de fichier de la clé de certificat. Par exemple:/path/to/cert.key |
Version minimale de TLS | Obligatoire | Version minimale de TLS. Exemple:TLSv1_3 |
Ignorer la validation TLS non sécurisée | Obligatoire | Active la validation de la certification SSL. Par défaut:désactivé |
PPCap
Cette section aborde les sujets suivants:
- Utiliser pcap sous Windows
- Utiliser pcap sous Linux
- Paramètres du collecteur pour le module photo cap
Utiliser pcap sous Windows
Le redirecteur Google Security Operations peut capturer des paquets directement à partir d'une interface réseau à l'aide de Npcap sur les systèmes Windows.
Contactez l'assistance Google Security Operations pour mettre à jour votre fichier de configuration du redirecteur Google Security Operations afin de permettre la capture de paquets.
Pour exécuter un redirecteur de capture de paquets (PCAP), vous avez besoin des éléments suivants:
- Installez Npcap sur l'hôte Microsoft Windows.
- Sur l'hôte Windows, accordez les droits racine ou d'administrateur du redirecteur Google Security Operations pour surveiller l'interface réseau.
- Aucune option de ligne de commande n'est nécessaire.
- Lors de l'installation de Npcap, activez le mode de compatibilité WinPcap.
Utiliser pcap sous Linux
Utilisez le type de collecteur pcap
pour capturer des paquets directement à partir d'une interface réseau à l'aide de libcap sous Linux. Pour plus d'informations sur libcap, consultez la page du manuel concernant libcap – Linux.
Les paquets sont capturés et envoyés à Google Security Operations à la place des entrées de journal. La capture de paquets n'est gérée qu'à partir d'une interface locale.
Google Security Operations configure le redirecteur Google Security Operations avec l'expression de filtre de paquets de Berkeley (BPF) utilisée lors de la capture de paquets (par exemple, sur le port 53 et non sur l'hôte local). Pour en savoir plus, consultez la page Filtres de paquets de Berkeley.
Paramètres du collecteur pour pcap
Les mêmes paramètres de configuration de collecteur s'appliquent à un hôte Linux ou Windows.
Champ | Obligatoire ou facultatif pour ce type | Description |
---|---|---|
Interface réseau | Obligatoire | Interface permettant d'écouter les données PCAP. Remarque:Pour un hôte Windows, il s'agit du GUID de l'interface utilisée pour capturer les paquets. Pour obtenir cette valeur, exécutez getmac.exe sur la machine sur laquelle Google Security Operations Forwarder est installé (le serveur ou la machine qui écoute sur le port span). La sortie getmac.exe commence par \Device\Tcpip_ .
Remplacez-la par \Device\NPF_ .Exemple: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Filtre de paquets Berkeley | Obligatoire | Filtre de paquet de Berkeley (BPF) pour pcap. Exemple: udp port 53 |
Splunk
Utilisez le type de collecteur splunk
pour collecter des données Splunk.
Champ | Obligatoire ou facultatif pour ce type | Description |
---|---|---|
Nom d'utilisateur | Obligatoire | Nom d'utilisateur d'une identité utilisée pour l'authentification. |
Mot de passe | Obligatoire | Mot de passe du compte identifié par le nom d'utilisateur. |
Hôte | Obligatoire | Hôte ou adresse IP de l'API REST Splunk. Exemple: https://10.0.113.15 |
Port | Obligatoire | Port de l'API REST Splunk. |
Taille minimale de la fenêtre | Obligatoire | Période minimale en secondes transmise à la requête Splunk. Ce paramètre est utilisé pour le réglage si l'exigence consiste à modifier la fréquence à laquelle le serveur Splunk est interrogé lorsque le redirecteur est à l'état stable. De plus, en cas de décalage, l'appel d'API Splunk peut être effectué plusieurs fois. Par défaut:10 |
Taille maximale de la fenêtre | Obligatoire | Période maximale (en secondes) transmise à la requête Splunk. Ce paramètre est utilisé pour le réglage en cas de décalage ou lorsque des données supplémentaires sont requises par requête. Modifiez ce paramètre (égal ou supérieur à) lorsque vous modifiez le paramètre minimal. Des délais peuvent survenir lorsqu'un appel de requête Splunk dure plus longtemps que la taille de fenêtre maximale. Remarque : Les périodes ne se chevauchent jamais lorsque le serveur Splunk est interrogé. La période interrogée est toujours comprise entre les paramètres de fenêtre minimal et maximal. Par défaut:30 |
Chaîne de requête | Obligatoire | Requête utilisée pour filtrer les enregistrements dans Splunk. Exemple: search index=* sourcetype=dns |
Mode de requête | Obligatoire | Mode de requête pour Splunk Exemple: realtime |
Certificat ignoré | Facultatif | Si cette option est activée, le certificat est ignoré. Par défaut:désactivé |
Syslog
Utilisez le type de collecteur syslog
pour collecter des données syslog. Vous pouvez configurer n'importe quel appareil ou serveur compatible avec l'envoi de données syslog via une connexion TCP ou UDP pour transmettre ses données à Google Security Operations Forwarder. Vous pouvez contrôler les données exactes que l'appareil ou le serveur envoie à Google Security Operations Forwarder. Le redirecteur Google Security Operations peut ensuite transférer les données à Google Security Operations.
Champ | Obligatoire ou facultatif pour ce type | Description |
---|---|---|
Protocole | Obligatoire | Protocole de connexion utilisé par le collecteur pour écouter les données syslog. Les valeurs possibles sont les suivantes :
|
Adresse | Obligatoire | Adresse IP ou nom d'hôte cible où réside le collecteur et écoute les données syslog. |
Port | Obligatoire | Port cible sur lequel le collecteur réside et écoute les données syslog. |
Taille de la mémoire tampon | Obligatoire | Taille en octets du tampon du socket. La valeur par défaut pour le protocole TCP est 65536. La valeur par défaut pour le protocole UDP est 8192. |
Délai de connexion | Obligatoire | Nombre de secondes d'inactivité après lequel la connexion TCP est interrompue. Par défaut:60 |
Certificat TLS | Obligatoire | Chemin d'accès et nom de fichier du certificat. Par exemple:/path/to/cert.pem |
Clé de certificat TLS | Obligatoire | Chemin d'accès et nom de fichier de la clé de certificat. Par exemple:/path/to/cert.key |
Version minimale de TLS | Obligatoire | Version minimale de TLS. Exemple: TLSv1_3 |
Ignorer la validation TLS non sécurisée | Obligatoire | Active la validation de la certification SSL. Par défaut:désactivé |
WebProxy
En plus de spécifier les valeurs de champ pour Google SecOps Forwarder sous Windows, installez la bibliothèque Npcap sur l'ordinateur ou l'appareil Windows. Cette opération n'est pas requise pour Google SecOps Forwarder sur les systèmes Linux.
Champ | Obligatoire ou facultatif pour ce type | Description |
---|---|---|
Interface réseau | Obligatoire | Interface permettant d'écouter les données du proxy Web. |
Filtre de paquets Berkeley | Obligatoire | Filtre de paquet de Berkeley (BPF) pour le proxy Web. Exemple: udp port 53 |
Dépannage
Le redirecteur ne reçoit pas les données Syslog
Assurez-vous que les paramètres syslog du collecteur sont configurés de façon à utiliser le protocole de connexion approprié (TCP ou UDP) pour les données entrantes. Pour en savoir plus, consultez Modifier un collecteur.