Gerencie as configurações de encaminhador usando a interface de Operações de Segurança do Google

Nesta página, descrevemos como criar, gerenciar e fazer o download de configurações de encaminhador usando a interface do usuário (UI) das Operações de segurança do Google. Você também pode realizar essas tarefas de maneira programática usando a API Forwarder Management.

Convenções de nomenclatura

Este documento usa estas convenções de nomenclatura:

  • Encaminhador de operações de segurança do Google: o componente de software implantado.
  • forwarder: o nome curto de uma configuração de encaminhador quando armazenado na sua instância de Operações de Segurança do Google.
  • collector: o nome curto da configuração de um coletor quando ele é armazenado na sua instância das Operações de Segurança do Google.

Adicionar encaminhadores

Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador de operações de segurança do Google. Adicionar um encaminhador permite fazer o seguinte:

  • Nomeie uma configuração de encaminhador.
  • Especifique os valores de configuração do encaminhador.

Adicionar um novo encaminhador cria uma configuração de encaminhador parcialmente completa. Para concluir a configuração do encaminhador, é preciso adicionar um coletor. Depois de adicionar pelo menos um coletor, é possível fazer o download da configuração do encaminhador e implantá-la em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google esteja instalado.

Em vez de adicionar um novo encaminhador, é possível clonar um ou mais encaminhadores existentes. Para mais detalhes, consulte Clonar encaminhadores.

Para adicionar um novo encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Clique em Adicionar novo encaminhador.
  4. No campo Nome do encaminhador, digite um nome.

  5. Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:

    • Upload Compacting:selecione Yes para compactar os dados do registro antes de eles serem enviados para as Operações de Segurança do Google. O padrão é Não. Para mais detalhes sobre compactação de dados, consulte Compactação de upload.
    • Namespace do recurso: digite um namespace que identifique os registros coletados por esse encaminhador. Esse namespace será aplicado a todos os coletores adicionados a este encaminhador, a menos que você especifique um namespace para um coletor no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave do rótulo e Valor do rótulo:digite uma chave e um valor. Também é possível clicar em Adicionar novo rótulo para incluir um ou mais pares de chave-valor de rótulos. Essa é uma configuração global que se aplica aos coletores do encaminhador e do encaminhador, a menos que seja substituída no nível do coletor. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser allow ou block quando houver correspondência. Por padrão, inclusive quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha recebida e, em seguida, continua avaliando a próxima linha para verificar uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  6. (Somente coleção syslog) Opcional: ative a opção Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para configurar opções de balanceamento de carga e alta disponibilidade para coleta de syslog no Linux. Para detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleta do syslog.

  7. Clique em Enviar.

    O encaminhador é adicionado e a janela Adicionar configuração do coletor é exibida.

  8. No campo Nome do coletor, digite um nome.

  9. Clique no campo Tipo de registro para visualizar uma lista de tipos de registro e realize uma das seguintes ações:

    • Se o tipo de registro desejado não for exibido, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  10. Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:

    • Namespace do recurso: digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Para os registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser allow ou block quando houver correspondência. Por padrão, inclusive quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha recebida e, em seguida, continua avaliando a próxima linha para verificar uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  11. Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é 1048576.

  12. Opcional: buffer de disco: defina o botão de alternância como on para ativar o armazenamento em buffer de disco para o coletor. Para mais detalhes sobre o armazenamento em buffer do disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório dos arquivos gravados.
    • Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes das mensagens backlog serem armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  13. Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações, que podem ser definidas. Para detalhes sobre os tipos de coletores e as configurações deles, consulte Configurações do tipo de coletor.

  14. Clique em Enviar.

Adicionar coletores

É possível adicionar um ou mais coletores a um encaminhador existente.

Adicionar um coletor permite que você:

  • Dê um nome ao coletor.
  • Especifique o tipo de registro a ser coletado, como Pan Firewall, Cisco ASA Firewall e outros.
  • Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Especifique os valores de configuração do coletor.

Depois de adicionar pelo menos um coletor a um encaminhador, é possível fazer o download da configuração dele e implantá-la em uma máquina ou dispositivo com o Encaminhado de operações de segurança do Google instalado.

Para adicionar um novo coletor a um encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.
  4. Mantenha o ponteiro sobre o encaminhador ao qual você quer adicionar um coletor. O ícone do menu de expansão é exibido.
  5. Clique no ícone do menu de expansão.
  6. Escolha Adicionar novo coletor.
  7. No campo Nome do coletor, digite um nome.

  8. Clique no campo Tipo de registro para visualizar uma lista de tipos de registro e realize uma das seguintes ações:

    • Se o tipo de registro desejado não for exibido, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  9. Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:

    • Namespace do recurso: digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Para os registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser allow ou block quando houver correspondência. Por padrão, inclusive quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha recebida e, em seguida, continua avaliando a próxima linha para verificar uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  10. Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é 1048576.

  11. Opcional: buffer de disco: defina o botão de alternância como on para ativar o armazenamento em buffer de disco para o coletor. Para mais detalhes sobre o armazenamento em buffer do disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório dos arquivos gravados.
    • Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes das mensagens backlog serem armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  12. Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações, que podem ser definidas. Para detalhes sobre os tipos de coletores e as configurações deles, consulte Configurações do tipo de coletor.

  13. Clique em Enviar.

Gerenciar encaminhadores

Listar os encaminhadores em uma instância das Operações de Segurança do Google

Para listar os encaminhadores em uma instância das Operações de Segurança do Google, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
  3. Opcional: classifique a lista clicando na coluna Nome ou Última atualização.

Também é possível usar o campo de pesquisa para restringir os resultados na lista.

Encaminhadores de clones

Com a clonagem, é possível criar uma cópia de uma ou mais configurações de encaminhador.

Para clonar encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.

  2. Clique no ícone do menu de expansão.

  3. Selecione Clonar selecionados.

  4. Clique em Clone. Uma cópia de cada encaminhador é adicionada.

Editar uma configuração de encaminhador

Para editar uma configuração de encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.

  3. Mantenha o ponteiro do mouse sobre o encaminhador em que você quer editar a configuração. O ícone do menu de expansão é exibido.

  4. Clique no ícone do menu de expansão.

  5. Escolha Editar configuração do encaminhador.

  6. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar encaminhadores.

  7. Clique em Enviar.

Excluir encaminhadores

Para excluir encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.

  2. Clique no ícone do menu de expansão.

  3. Selecione Excluir selecionados.

  4. Clique em Excluir selecionados.

Gerenciar coletores

Listar os coletores em uma instância das Operações de Segurança do Google

Para listar os coletores em uma instância das Operações de Segurança do Google, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
  3. Clique na seta de expansão ao lado do cabeçalho da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada encaminhador.
  4. Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.

Editar uma configuração do coletor

Para editar uma configuração do coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador em que você quer editar um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar é exibido.

  6. Clique em Editar.

  7. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.

  8. Clique em Enviar.

Excluir um coletor

Para excluir um coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador cujo coletor você quer excluir.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.

  6. Clique no link Excluir.

  7. Para confirmar, clique no botão Excluir.

Fazer o download dos arquivos de configuração

O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, vai receber um erro.

É possível fazer o download do arquivo de configuração do encaminhador (.conf), do arquivo de autenticação (_auth.conf) ou de ambos para qualquer encaminhador listado na sua instância de Operações de Segurança do Google, desde que tenha pelo menos um coletor. Depois de fazer o download dos arquivos, você precisará implantá-los no sistema Windows ou Linux onde está o encaminhador de operações de segurança do Google.

Para fazer o download dos arquivos de configuração do encaminhador:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.

  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.

  4. Mantenha o ponteiro do mouse sobre o encaminhador de que você quer fazer o download dos arquivos de configuração. O ícone do menu de expansão é exibido.

  5. Clique no ícone do menu de expansão.

  6. Selecione Fazer o download.

  7. Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:

    • Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo .conf.
    • Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo _auth.conf.
    • Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.

Referência das definições de configuração

As configurações do encaminhador incluem um ou mais coletores.

É possível definir as seguintes configurações no nível do encaminhador:

Defina as configurações a seguir no nível do encaminhador e do coletor. Para entender o resultado da definição em ambos os níveis, consulte a seção sobre a configuração.

É possível definir as seguintes configurações no nível do coletor:

Compactação de upload

Padrão:ativada

Você pode configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes de eles serem enviados para as Operações de segurança do Google. Isso reduz o consumo de largura de banda da rede durante a transferência para as Operações de segurança do Google. No entanto, a compactação pode aumentar o uso da CPU.

A compensação entre o uso de largura de banda e CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo da largura de banda da rede. Por exemplo, registros baseados em texto são bem compactados e podem oferecer economia de largura de banda substancial com baixo uso da CPU. No entanto, payloads criptografados de pacotes brutos não são bem compactados e geram maior uso da CPU.

Namespaces de recursos

Padrão:o campo vai ficar vazio se não for especificado.

É possível configurar um namespace de recursos para um encaminhador, um coletor ou ambos. Você pode usar um namespace para identificar registros de segmentos de rede distintos e eliminar o conflito de endereços IP sobrepostos. Todos os namespaces configurados aparecem com os recursos associados na interface do usuário das Operações de Segurança do Google. Também é possível pesquisar namespaces usando o recurso de pesquisa de operações de segurança do Google.

Especifique um namespace para um encaminhador e especifique namespaces diferentes para um ou mais coletores do encaminhador. Se um namespace for especificado para um coletor, o namespace do coletor será usado em vez do namespace do encaminhador para os registros desse coletor.

Para informações sobre o uso de namespaces, consulte Namespaces de recursos.

Rótulos

Padrão:os campos vão ficar vazios se não forem especificados.

É possível configurar rótulos para um encaminhador, um coletor ou ambos. Eles são usados para anexar metadados arbitrários a registros com o uso de pares de chave-valor. Os rótulos podem ser configurados para um encaminhador inteiro ou dentro de um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor com precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.

Filtros de expressão regular

Padrão:os campos vão ficar vazios se não forem especificados.

É possível configurar filtros de expressão regular para um encaminhador, um coletor ou ambos. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um registro bruto que correspondam à expressão.

Os filtros usam a sintaxe RE2.

Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando há uma correspondência. O comportamento padrão em uma correspondência é bloquear. Você também pode configurá-la explicitamente como bloqueio.

Como alternativa, você pode especificar filtros com o comportamento allow. Se você especificar algum filtro de permissão, o encaminhador bloqueará todos os registros que não corresponderem a pelo menos um filtro de permissão.

É possível definir um número arbitrário de filtros. Os filtros de bloco têm prioridade sobre os filtros de permissão.

Quando os filtros são definidos, é necessário atribuir um nome a eles. Os nomes dos filtros ativos são informados às operações de segurança do Google usando métricas de integridade do encaminhador. Os filtros definidos no nível do encaminhador são mesclados com os filtros definidos no nível do coletor. Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento será permitir todos.

Configurações do servidor HTTP para a coleção do syslog

O encaminhador de operações de segurança do Google pode ser implantado em um ambiente em que um balanceador de carga de camada 4 seja instalado entre as instâncias da fonte de dados e do encaminhador. Isso permite distribuir a coleta de registros em vários encaminhadores ou enviar registros para um encaminhador diferente se um deles falhar. Esse recurso é compatível apenas com o tipo de coleção syslog.

O encaminhador inclui um servidor HTTP integrado que responde a verificações de integridade HTTP do balanceador de carga. O servidor HTTP também ajuda a garantir que os registros não sejam perdidos durante a inicialização ou o encerramento de um encaminhador.

As configurações do servidor aceitam a definição de durações de tempo limite e códigos de status retornados em resposta a verificações de integridade recebidas em implantações baseadas em programador e orquestração de contêineres e de balanceadores de carga tradicionais.

Use os caminhos de URL a seguir para verificações de integridade, prontidão e atividade. Os valores <host:port> são definidos na configuração do encaminhador.

  • http://<host:port>/meta/available: verificações de atividade para programadores/orquestradores de contêineres, como o Kubernetes
  • http://<host:port>/meta/ready: de prontidão e verificações de integridade do balanceador de carga tradicional.
Configuração Descrição
Tempo limite otimizado Por quanto tempo novas conexões ainda são aceitas depois que o encaminhador retorna um status "não pronto" em resposta a uma verificação de integridade. Esse também é o tempo de espera entre o recebimento de um sinal para interromper e o início do desligamento do próprio servidor. Isso permite que o balanceador de carga tenha tempo para remover o encaminhador do pool.

Os valores válidos estão em segundos. Por exemplo, para especificar 10 segundos, digite 10.. Valores decimais não são permitidos.

Padrão: 15 segundos
Tempo limite de drenagem O tempo que o encaminhador espera até que as conexões ativas se fechem por conta própria antes de serem fechadas pelo servidor. Por exemplo, para especificar cinco segundos, digite 5.. Valores decimais não são permitidos.

Padrão: 10 segundos
Port O número da porta em que o servidor HTTP detecta verificações de integridade do balanceador de carga. O valor precisa estar entre 1.024 e 65.535.

Padrão: 8080
Endereço IP/nome do host O endereço IP, ou um nome do host que possa ser resolvido para um endereço IP, que o servidor precisa detectar.

Padrão:0.0.0.0 (o sistema local)
Tempo limite de leitura Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada da configuração padrão. O tempo máximo permitido para ler toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir os campos tempo limite de leitura e tempo limite de leitura do cabeçalho.

Padrão: 3 segundos
Tempo limite de leitura do cabeçalho Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada da configuração padrão. O tempo máximo permitido para ler os cabeçalhos da solicitação. O prazo de leitura da conexão é redefinido depois que o cabeçalho é lido.

Padrão: 3 segundos
Tempo limite de gravação Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada da configuração padrão. O tempo máximo permitido para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido.

Padrão: 3 segundos
Tempo limite de inatividade Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada da configuração padrão. O tempo máximo de espera pela próxima solicitação quando as conexões inativas estão ativadas. Se o campo idle timeout for definido como zero, o valor do campo read timeout será usado. Se ambos forem zero, o campo tempo tempo limite de leitura do cabeçalho será usado.

Padrão: 3 segundos
Código de status disponível O código de status retornado pelo encaminhador quando uma verificação de atividade é recebida e o encaminhador está disponível. Programadores e orquestradores de contêineres, como o Kubernetes, geralmente enviam verificações de atividade.

Padrão: 204
Código de status pronto O código de status retornado pelo encaminhador quando está pronto para aceitar o tráfego em uma das seguintes situações:
  • Uma verificação de prontidão é recebida de um programador ou orquestrador de contêineres, como o Kubernetes.
  • Uma verificação de integridade é recebida de um balanceador de carga tradicional.
Padrão: 204
Código de status não pronto O código de status que o encaminhador retorna quando não está pronto para aceitar o tráfego.

Padrão: 503

Tipo de registro

Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.

Armazenamento em buffer de disco

O armazenamento em buffer de disco permite armazenar em buffer as mensagens acumuladas em buffer no disco, e não na memória. As mensagens acumuladas podem ser armazenadas caso o encaminhador falhe ou o host subjacente falhe. A ativação do armazenamento em buffer do disco pode afetar o desempenho.

Se o armazenamento em buffer de disco estiver desativado, o coletor usará 1 GB de memória (RAM) para os registros coletados. Você pode especificar o máximo usando a configuração Máximo de bytes de buffer de arquivo na configuração do coletor. Isso determina o tamanho máximo de RAM usado pelo coletor antes que as mensagens com backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um volume separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos.

Configurações do tipo de coletor

Cada configuração do coletor precisa especificar um tipo de coletor. Nesta seção, descrevemos os tipos de coletores e as configurações deles.

Arquivo

Use o tipo de coletor file para fazer upload de registros de um único arquivo.

Campo Campo obrigatório ou opcional para este tipo Descrição
Caminho do arquivo Obrigatório O caminho do diretório e o nome de arquivo. Por exemplo:

/opt/chronicle/edr/output/sample.txt

Kafka

Use o tipo de coletor kafka para ingerir dados de tópicos do Kafka. Os grupos de consumidores do Kafka são aproveitados para permitir a implantação de até três encaminhadores de operações de segurança do Google para extrair dados do mesmo tópico do Kafka. Para mais informações, consulte Kafka. Para mais informações sobre grupos de consumidores do Kafka, consulte Consumidor do Kafka.

Campo Obrigatório ou opcional para este tipo Descrição
Nome de usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta associada ao nome de usuário.
Tópico Obrigatório O tópico do Kafka em que os dados serão ingeridos.
ID do grupo Obrigatório Um ID do grupo.
Tempo limite Obrigatório O número máximo de segundos que uma discagem aguardará até que uma conexão seja concluída.

Padrão: 60
Agentes Opcional Insira um agente na caixa de texto. Por exemplo:

broker-1:9092


Clique em Adicionar outro para adicionar outro agente.

Observação:todos os valores são substituídos durante uma operação de atualização. Portanto, para atualizar uma lista de agentes e adicionar um novo agente, especifique todos os agentes atuais e o novo.
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:

/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome de arquivo da chave de certificado. Por exemplo:

/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo:TLSv1_3
Pular verificação não segura de TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão: desativado

Pcap

Esta seção abrange os seguintes tópicos:

Como usar o pcap no Windows

O encaminhador das Operações de Segurança do Google pode capturar pacotes diretamente de uma interface de rede usando o Npcap em sistemas Windows.

Entre em contato com o Suporte das Operações de Segurança do Google para atualizar seu arquivo de configuração do encaminhador das Operações de Segurança do Google para oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP, na sigla em inglês), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.
  • No host do Windows, conceda privilégios raiz ou de administrador do encaminhador de Operações de Segurança do Google para monitorar a interface de rede.
  • Nenhuma opção de linha de comando é necessária.
  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux

Use o tipo de coletor pcap para capturar pacotes diretamente de uma interface de rede usando libcap no Linux. Para mais informações sobre libcap, consulte a página de manual do libcap - Linux.

Os pacotes são capturados e enviados para as Operações de Segurança do Google em vez de entradas de registro. A captura de pacotes é processada apenas em uma interface local.

A equipe de Operações de Segurança do Google configura o encaminhador de Operações de Segurança do Google com a expressão Berkeley Packet Filter (BPF) usada ao capturar pacotes (por exemplo, na porta 53 e não no localhost). Para mais informações, consulte Filtros de pacotes Berkeley.

Configurações do coletor para pcap

As mesmas definições de configuração do coletor se aplicam a um host do Linux ou do Windows.

Campo Obrigatório ou opcional para este tipo Descrição
Interface de rede Obrigatório A interface para detectar dados PCAP.

Observação:para um host do Windows, é o GUID da interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o encaminhador de operações de segurança do Google está instalado (o servidor ou a máquina que detecta a porta span). A saída getmac.exe começa com \Device\Tcpip_. Substitua por \Device\NPF_.

Exemplo:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de pacotes Berkeley Obrigatório O Filtro de Pacote de Berkeley (BPF) para pcap.

Exemplo:udp port 53

Splunk

Use o tipo de coletor splunk para coletar dados do Splunk.

Campo Obrigatório ou opcional para este tipo Descrição
Nome de usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta identificada pelo nome de usuário.
Host Obrigatório O host ou o endereço IP da API REST do Splunk.

Exemplo:https://10.0.113.15
Porta Obrigatório A porta da API REST do Splunk.
Tamanho mínimo da janela Obrigatório O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Esse parâmetro é usado para ajuste se o requisito é mudar a frequência com que o servidor Splunk é consultado quando o encaminhador está em estado estável. Além disso, quando há um atraso, a chamada da API Splunk pode ser feita várias vezes.

Padrão: 10
Tamanho máximo da janela Obrigatório O intervalo de tempo máximo em segundos passado para a consulta do Splunk. Esse parâmetro é usado para ajustes nos casos em que há um atraso ou se mais dados por consulta são necessários.

Altere esse parâmetro (igual ou maior que) ao alterar o parâmetro mínimo. Casos de atraso poderão ocorrer se uma chamada de consulta do Splunk estiver demorando mais do que o tamanho máximo da janela.

Observação : os períodos nunca se sobrepõem quando o servidor Splunk é consultado. O período consultado está sempre entre os parâmetros de janela mínimo e máximo.

Padrão: 30
String de consulta Obrigatório Consulta usada para filtrar registros no Splunk.

Exemplo:search index=* sourcetype=dns
Modo de consulta Obrigatório O modo de consulta para o Splunk.

Exemplo:realtime
Certificado ignorado Opcional Se ativado, o certificado será ignorado.

Padrão: desativado

Syslog

Usar o tipo de coletor syslog para coletar dados syslog. Você pode configurar qualquer dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP para encaminhar os próprios dados para o encaminhador de operações de segurança do Google. Você pode controlar os dados exatos que o dispositivo ou o servidor envia para o encaminhador de operações de segurança do Google. O encaminhador de operações de segurança do Google pode encaminhar os dados para as operações de segurança do Google.

Campo Obrigatório ou opcional para este tipo Descrição
Protocolo Obrigatório O protocolo de conexão que o coletor vai usar para detectar dados syslog. Os valores válidos são:

  • TCP
  • UDP
Endereço Obrigatório O endereço IP de destino ou o nome do host em que o coletor reside e detecta dados syslog.
Porta Obrigatório A porta de destino em que o coletor reside e detecta dados syslog.
Tamanho do buffer Obrigatório O tamanho em bytes do buffer do soquete.

O padrão para TCP é 65536.
O padrão para o UDP é 8192.
Tempo limite de conexão Obrigatório O número de segundos de inatividade após os quais a conexão TCP é encerrada.

Padrão: 60
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:

/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome de arquivo da chave de certificado. Por exemplo:

/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo:TLSv1_3
Pular verificação não segura de TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão: desativado

WebProxy

Além de especificar os valores de campo para o Google SecOps Forwarder no Windows, instale a biblioteca Npcap no dispositivo ou máquina Windows. Isso não é necessário para o encaminhador de SecOps do Google em sistemas Linux.

Campo Obrigatório ou opcional para este tipo Descrição
Interface de rede Obrigatório A interface para detectar dados do proxy da Web.
Filtro de pacotes Berkeley Obrigatório O Filtro de pacotes Berkeley (BPF) para o proxy da Web.

Exemplo:udp port 53

Solução de problemas

Os dados syslog não são recebidos pelo encaminhador

Verifique se as configurações do syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.