Gerencie as configurações de encaminhador usando a interface de Operações de Segurança do Google
Nesta página, descrevemos como criar, gerenciar e fazer o download de configurações de encaminhador usando a interface do usuário (UI) das Operações de segurança do Google. Você também pode realizar essas tarefas de maneira programática usando a API Forwarder Management.
Convenções de nomenclatura
Este documento usa estas convenções de nomenclatura:
- Encaminhador de operações de segurança do Google: o componente de software implantado.
- forwarder: o nome curto de uma configuração de encaminhador quando armazenado na sua instância de Operações de Segurança do Google.
- collector: o nome curto da configuração de um coletor quando ele é armazenado na sua instância das Operações de Segurança do Google.
Adicionar encaminhadores
Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador de operações de segurança do Google. Adicionar um encaminhador permite fazer o seguinte:
- Nomeie uma configuração de encaminhador.
- Especifique os valores de configuração do encaminhador.
Adicionar um novo encaminhador cria uma configuração de encaminhador parcialmente completa. Para concluir a configuração do encaminhador, é preciso adicionar um coletor. Depois de adicionar pelo menos um coletor, é possível fazer o download da configuração do encaminhador e implantá-la em uma máquina ou dispositivo em que o encaminhador de operações de segurança do Google esteja instalado.
Em vez de adicionar um novo encaminhador, é possível clonar um ou mais encaminhadores existentes. Para mais detalhes, consulte Clonar encaminhadores.
Para adicionar um novo encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, digite um nome.
Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:
- Upload Compacting:selecione Yes para compactar os dados do registro antes de eles serem enviados para as Operações de Segurança do Google. O padrão é Não. Para mais detalhes sobre compactação de dados, consulte Compactação de upload.
- Namespace do recurso: digite um namespace que identifique os registros coletados por esse encaminhador. Esse namespace será aplicado a todos os coletores adicionados a este encaminhador, a menos que você especifique um namespace para um coletor no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave do rótulo e Valor do rótulo:digite uma chave e um valor. Também é possível clicar em Adicionar novo rótulo para incluir um ou mais pares de chave-valor de rótulos. Essa é uma configuração global que se aplica aos coletores do encaminhador e do encaminhador, a menos que seja substituída no nível do coletor. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser
allow
oublock
quando houver correspondência. Por padrão, inclusive quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha recebida e, em seguida, continua avaliando a próxima linha para verificar uma correspondência. Para mais informações, consulte Filtros de expressão regular.
(Somente coleção syslog) Opcional: ative a opção Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para configurar opções de balanceamento de carga e alta disponibilidade para coleta de syslog no Linux. Para detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleta do syslog.
Clique em Enviar.
O encaminhador é adicionado e a janela Adicionar configuração do coletor é exibida.
No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para visualizar uma lista de tipos de registro e realize uma das seguintes ações:
- Se o tipo de registro desejado não for exibido, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:
- Namespace do recurso: digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Para os registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser
allow
oublock
quando houver correspondência. Por padrão, inclusive quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha recebida e, em seguida, continua avaliando a próxima linha para verificar uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: buffer de disco: defina o botão de alternância como on para ativar o armazenamento em buffer de disco para o coletor. Para mais detalhes sobre o armazenamento em buffer do disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório dos arquivos gravados.
- Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes das mensagens backlog serem armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações, que podem ser definidas. Para detalhes sobre os tipos de coletores e as configurações deles, consulte Configurações do tipo de coletor.
Clique em Enviar.
Adicionar coletores
É possível adicionar um ou mais coletores a um encaminhador existente.
Adicionar um coletor permite que você:
- Dê um nome ao coletor.
- Especifique o tipo de registro a ser coletado, como Pan Firewall, Cisco ASA Firewall e outros.
- Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
- Especifique os valores de configuração do coletor.
Depois de adicionar pelo menos um coletor a um encaminhador, é possível fazer o download da configuração dele e implantá-la em uma máquina ou dispositivo com o Encaminhado de operações de segurança do Google instalado.
Para adicionar um novo coletor a um encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.
- Mantenha o ponteiro sobre o encaminhador ao qual você quer adicionar um coletor. O ícone do menu de expansão é exibido.
- Clique no ícone do menu de expansão.
- Escolha Adicionar novo coletor.
- No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para visualizar uma lista de tipos de registro e realize uma das seguintes ações:
- Se o tipo de registro desejado não for exibido, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:
- Namespace do recurso: digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador para os registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Para os registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtrem registros com base na expressão regular (sintaxe RE2) que corresponde a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser
allow
oublock
quando houver correspondência. Por padrão, inclusive quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha recebida e, em seguida, continua avaliando a próxima linha para verificar uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: buffer de disco: defina o botão de alternância como on para ativar o armazenamento em buffer de disco para o coletor. Para mais detalhes sobre o armazenamento em buffer do disco, consulte Buffer de disco. Quando essa opção estiver ativada, você poderá especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório dos arquivos gravados.
- Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes das mensagens backlog serem armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações, que podem ser definidas. Para detalhes sobre os tipos de coletores e as configurações deles, consulte Configurações do tipo de coletor.
Clique em Enviar.
Gerenciar encaminhadores
Listar os encaminhadores em uma instância das Operações de Segurança do Google
Para listar os encaminhadores em uma instância das Operações de Segurança do Google, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
- Opcional: classifique a lista clicando na coluna Nome ou Última atualização.
Também é possível usar o campo de pesquisa para restringir os resultados na lista.
Encaminhadores de clones
Com a clonagem, é possível criar uma cópia de uma ou mais configurações de encaminhador.
Para clonar encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.
Clique no
ícone do menu de expansão.Selecione Clonar selecionados.
Clique em Clone. Uma cópia de cada encaminhador é adicionada.
Editar uma configuração de encaminhador
Para editar uma configuração de encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
Mantenha o ponteiro do mouse sobre o encaminhador em que você quer editar a configuração. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Escolha Editar configuração do encaminhador.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar encaminhadores.
Clique em Enviar.
Excluir encaminhadores
Para excluir encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.
Clique no
ícone do menu de expansão.Selecione Excluir selecionados.
Clique em Excluir selecionados.
Gerenciar coletores
Listar os coletores em uma instância das Operações de Segurança do Google
Para listar os coletores em uma instância das Operações de Segurança do Google, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
- Clique na seta de expansão ao lado do cabeçalho da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada encaminhador.
- Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.
Editar uma configuração do coletor
Para editar uma configuração do coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
Clique na
seta de expansão do encaminhador em que você quer editar um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar é exibido.
Clique em Editar.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.
Clique em Enviar.
Excluir um coletor
Para excluir um coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
Clique na
seta de expansão do encaminhador cujo coletor você quer excluir.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.
Clique no link Excluir.
Para confirmar, clique no botão Excluir.
Fazer o download dos arquivos de configuração
O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, vai receber um erro.
É possível fazer o download do arquivo de configuração do encaminhador (.conf
), do arquivo de autenticação (_auth.conf
) ou de ambos para qualquer encaminhador listado na sua instância de Operações de Segurança do Google, desde que tenha pelo menos um coletor. Depois de fazer o download dos arquivos, você precisará implantá-los no sistema Windows ou Linux onde está o encaminhador de operações de segurança do Google.
Para fazer o download dos arquivos de configuração do encaminhador:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página mostra a lista de encaminhadores.
Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.
Mantenha o ponteiro do mouse sobre o encaminhador de que você quer fazer o download dos arquivos de configuração. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Selecione Fazer o download.
Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
.conf
. - Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo
_auth.conf
. - Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
Referência das definições de configuração
As configurações do encaminhador incluem um ou mais coletores.
É possível definir as seguintes configurações no nível do encaminhador:
Defina as configurações a seguir no nível do encaminhador e do coletor. Para entender o resultado da definição em ambos os níveis, consulte a seção sobre a configuração.
- Namespaces dos recursos
- Marcadores
- Filtros de expressão regular
- Configurações do servidor HTTP para a coleta do syslog
É possível definir as seguintes configurações no nível do coletor:
Compactação de upload
Padrão:ativada
Você pode configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes de eles serem enviados para as Operações de segurança do Google. Isso reduz o consumo de largura de banda da rede durante a transferência para as Operações de segurança do Google. No entanto, a compactação pode aumentar o uso da CPU.
A compensação entre o uso de largura de banda e CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo da largura de banda da rede. Por exemplo, registros baseados em texto são bem compactados e podem oferecer economia de largura de banda substancial com baixo uso da CPU. No entanto, payloads criptografados de pacotes brutos não são bem compactados e geram maior uso da CPU.
Namespaces de recursos
Padrão:o campo vai ficar vazio se não for especificado.
É possível configurar um namespace de recursos para um encaminhador, um coletor ou ambos. Você pode usar um namespace para identificar registros de segmentos de rede distintos e eliminar o conflito de endereços IP sobrepostos. Todos os namespaces configurados aparecem com os recursos associados na interface do usuário das Operações de Segurança do Google. Também é possível pesquisar namespaces usando o recurso de pesquisa de operações de segurança do Google.
Especifique um namespace para um encaminhador e especifique namespaces diferentes para um ou mais coletores do encaminhador. Se um namespace for especificado para um coletor, o namespace do coletor será usado em vez do namespace do encaminhador para os registros desse coletor.
Para informações sobre o uso de namespaces, consulte Namespaces de recursos.
Rótulos
Padrão:os campos vão ficar vazios se não forem especificados.
É possível configurar rótulos para um encaminhador, um coletor ou ambos. Eles são usados para anexar metadados arbitrários a registros com o uso de pares de chave-valor. Os rótulos podem ser configurados para um encaminhador inteiro ou dentro de um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor com precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.
Filtros de expressão regular
Padrão:os campos vão ficar vazios se não forem especificados.
É possível configurar filtros de expressão regular para um encaminhador, um coletor ou ambos. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um registro bruto que correspondam à expressão.
Os filtros usam a sintaxe RE2.
Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando há uma correspondência. O comportamento padrão em uma correspondência é bloquear. Você também pode configurá-la explicitamente como bloqueio.
Como alternativa, você pode especificar filtros com o comportamento allow. Se você especificar algum filtro de permissão, o encaminhador bloqueará todos os registros que não corresponderem a pelo menos um filtro de permissão.
É possível definir um número arbitrário de filtros. Os filtros de bloco têm prioridade sobre os filtros de permissão.
Quando os filtros são definidos, é necessário atribuir um nome a eles. Os nomes dos filtros ativos são informados às operações de segurança do Google usando métricas de integridade do encaminhador. Os filtros definidos no nível do encaminhador são mesclados com os filtros definidos no nível do coletor. Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento será permitir todos.
Configurações do servidor HTTP para a coleção do syslog
O encaminhador de operações de segurança do Google pode ser implantado em um ambiente em que um balanceador de carga de camada 4 seja instalado entre as instâncias da fonte de dados e do encaminhador. Isso permite distribuir a coleta de registros em vários encaminhadores ou enviar registros para um encaminhador diferente se um deles falhar. Esse recurso é compatível apenas com o tipo de coleção syslog.
O encaminhador inclui um servidor HTTP integrado que responde a verificações de integridade HTTP do balanceador de carga. O servidor HTTP também ajuda a garantir que os registros não sejam perdidos durante a inicialização ou o encerramento de um encaminhador.
As configurações do servidor aceitam a definição de durações de tempo limite e códigos de status retornados em resposta a verificações de integridade recebidas em implantações baseadas em programador e orquestração de contêineres e de balanceadores de carga tradicionais.
Use os caminhos de URL a seguir para verificações de integridade, prontidão e atividade. Os
valores <host:port>
são definidos na configuração do encaminhador.
- http://
<host:port>
/meta/available: verificações de atividade para programadores/orquestradores de contêineres, como o Kubernetes - http://
<host:port>
/meta/ready: de prontidão e verificações de integridade do balanceador de carga tradicional.
Configuração | Descrição |
---|---|
Tempo limite otimizado | Por quanto tempo novas conexões ainda são aceitas depois que o encaminhador retorna um status "não pronto" em resposta a uma verificação de integridade.
Esse também é o tempo de espera entre o recebimento de um sinal para interromper e
o início do desligamento do próprio servidor. Isso permite que o
balanceador de carga tenha tempo para remover o encaminhador do pool. Os valores válidos estão em segundos. Por exemplo, para especificar 10 segundos, digite 10. .
Valores decimais não são permitidos.Padrão: 15 segundos |
Tempo limite de drenagem | O tempo que o encaminhador espera até que as conexões ativas
se fechem por conta própria antes de serem fechadas pelo
servidor. Por exemplo, para especificar cinco segundos, digite 5. .
Valores decimais não são permitidos.Padrão: 10 segundos |
Port | O número da porta em que o servidor HTTP detecta verificações de integridade
do balanceador de carga. O valor precisa estar entre 1.024 e 65.535. Padrão: 8080 |
Endereço IP/nome do host | O endereço IP, ou um nome do host que possa ser resolvido para um endereço IP, que o servidor precisa detectar. Padrão:0.0.0.0 (o sistema local) |
Tempo limite de leitura | Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada
da configuração padrão. O tempo máximo permitido para ler
toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir os campos tempo limite de leitura e tempo limite de leitura do cabeçalho. Padrão: 3 segundos |
Tempo limite de leitura do cabeçalho | Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada
da configuração padrão. O tempo máximo permitido para ler os cabeçalhos da solicitação. O prazo de leitura da conexão é redefinido depois
que o cabeçalho é lido. Padrão: 3 segundos |
Tempo limite de gravação | Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada
da configuração padrão. O tempo máximo permitido para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido. Padrão: 3 segundos |
Tempo limite de inatividade | Usado para ajustar o servidor HTTP. Normalmente, ela não precisa ser alterada
da configuração padrão. O tempo máximo de espera pela
próxima solicitação quando as conexões inativas estão ativadas. Se o campo idle
timeout for definido como zero, o valor do campo read
timeout será usado. Se ambos forem zero, o campo tempo
tempo limite de leitura do cabeçalho será usado. Padrão: 3 segundos |
Código de status disponível | O código de status retornado pelo encaminhador quando uma verificação de atividade é
recebida e o encaminhador está disponível. Programadores e orquestradores de contêineres, como o Kubernetes, geralmente enviam verificações de atividade. Padrão: 204 |
Código de status pronto | O código de status retornado pelo encaminhador quando está pronto para aceitar o tráfego em uma das seguintes situações:
|
Código de status não pronto | O código de status que o encaminhador retorna quando não está pronto para aceitar o tráfego. Padrão: 503 |
Tipo de registro
Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
Armazenamento em buffer de disco
O armazenamento em buffer de disco permite armazenar em buffer as mensagens acumuladas em buffer no disco, e não na memória. As mensagens acumuladas podem ser armazenadas caso o encaminhador falhe ou o host subjacente falhe. A ativação do armazenamento em buffer do disco pode afetar o desempenho.
Se o armazenamento em buffer de disco estiver desativado, o coletor usará 1 GB de memória (RAM) para os registros coletados. Você pode especificar o máximo usando a configuração Máximo de bytes de buffer de arquivo na configuração do coletor. Isso determina o tamanho máximo de RAM usado pelo coletor antes que as mensagens com backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.
Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um volume separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos.
Configurações do tipo de coletor
Cada configuração do coletor precisa especificar um tipo de coletor. Nesta seção, descrevemos os tipos de coletores e as configurações deles.
Arquivo
Use o tipo de coletor file
para fazer upload de registros de um único arquivo.
Campo | Campo obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Caminho do arquivo | Obrigatório | O caminho do diretório e o nome de arquivo. Por exemplo:/opt/chronicle/edr/output/sample.txt |
Kafka
Use o tipo de coletor kafka
para ingerir dados de tópicos do Kafka. Os grupos de consumidores
do Kafka são aproveitados para permitir a implantação de até três encaminhadores de operações de segurança do Google para
extrair dados do mesmo tópico do Kafka. Para mais informações, consulte
Kafka.
Para mais informações sobre grupos de consumidores do Kafka, consulte
Consumidor do Kafka.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Nome de usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta associada ao nome de usuário. |
Tópico | Obrigatório | O tópico do Kafka em que os dados serão ingeridos. |
ID do grupo | Obrigatório | Um ID do grupo. |
Tempo limite | Obrigatório | O número máximo de segundos que uma discagem aguardará até que uma conexão seja concluída. Padrão: 60 |
Agentes | Opcional | Insira um agente na caixa de texto. Por exemplo:broker-1:9092 Clique em Adicionar outro para adicionar outro agente. Observação:todos os valores são substituídos durante uma operação de atualização. Portanto, para atualizar uma lista de agentes e adicionar um novo agente, especifique todos os agentes atuais e o novo. |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome de arquivo da chave de certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo:TLSv1_3 |
Pular verificação não segura de TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão: desativado |
Pcap
Esta seção abrange os seguintes tópicos:
Como usar o pcap no Windows
O encaminhador das Operações de Segurança do Google pode capturar pacotes diretamente de uma interface de rede usando o Npcap em sistemas Windows.
Entre em contato com o Suporte das Operações de Segurança do Google para atualizar seu arquivo de configuração do encaminhador das Operações de Segurança do Google para oferecer suporte à captura de pacotes.
Para executar um encaminhador de captura de pacotes (PCAP, na sigla em inglês), você precisa do seguinte:
- Instale o Npcap no host do Microsoft Windows.
- No host do Windows, conceda privilégios raiz ou de administrador do encaminhador de Operações de Segurança do Google para monitorar a interface de rede.
- Nenhuma opção de linha de comando é necessária.
- Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux
Use o tipo de coletor pcap
para capturar pacotes diretamente de uma interface
de rede usando libcap no Linux. Para mais informações sobre libcap, consulte a
página de manual do libcap - Linux.
Os pacotes são capturados e enviados para as Operações de Segurança do Google em vez de entradas de registro. A captura de pacotes é processada apenas em uma interface local.
A equipe de Operações de Segurança do Google configura o encaminhador de Operações de Segurança do Google com a expressão Berkeley Packet Filter (BPF) usada ao capturar pacotes (por exemplo, na porta 53 e não no localhost). Para mais informações, consulte Filtros de pacotes Berkeley.
Configurações do coletor para pcap
As mesmas definições de configuração do coletor se aplicam a um host do Linux ou do Windows.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface para detectar dados PCAP. Observação:para um host do Windows, é o GUID da interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o encaminhador de operações de segurança do Google está instalado (o servidor ou a máquina que detecta a porta span). A saída getmac.exe começa com \Device\Tcpip_ .
Substitua por \Device\NPF_ .Exemplo: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Filtro de pacotes Berkeley | Obrigatório | O Filtro de Pacote de Berkeley (BPF) para pcap. Exemplo: udp port 53 |
Splunk
Use o tipo de coletor splunk
para coletar dados do Splunk.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Nome de usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta identificada pelo nome de usuário. |
Host | Obrigatório | O host ou o endereço IP da API REST do Splunk. Exemplo: https://10.0.113.15 |
Porta | Obrigatório | A porta da API REST do Splunk. |
Tamanho mínimo da janela | Obrigatório | O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Esse
parâmetro é usado para ajuste se o requisito é mudar a
frequência com que o servidor Splunk é consultado quando o encaminhador está
em estado estável. Além disso, quando há um atraso, a chamada da API Splunk pode ser
feita várias vezes. Padrão: 10 |
Tamanho máximo da janela | Obrigatório | O intervalo de tempo máximo em segundos passado para a consulta do Splunk. Esse
parâmetro é usado para ajustes nos casos em que há um atraso ou se mais
dados por consulta são necessários. Altere esse parâmetro (igual ou maior que) ao alterar o parâmetro mínimo. Casos de atraso poderão ocorrer se uma chamada de consulta do Splunk estiver demorando mais do que o tamanho máximo da janela. Observação : os períodos nunca se sobrepõem quando o servidor Splunk é consultado. O período consultado está sempre entre os parâmetros de janela mínimo e máximo. Padrão: 30 |
String de consulta | Obrigatório | Consulta usada para filtrar registros no Splunk. Exemplo: search index=* sourcetype=dns |
Modo de consulta | Obrigatório | O modo de consulta para o Splunk. Exemplo: realtime |
Certificado ignorado | Opcional | Se ativado, o certificado será ignorado. Padrão: desativado |
Syslog
Usar o tipo de coletor syslog
para coletar dados syslog. Você pode configurar qualquer
dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP
para encaminhar os próprios dados para o encaminhador de operações de segurança do Google. Você pode controlar os dados exatos que o dispositivo ou o servidor envia para o encaminhador de operações de segurança do Google. O encaminhador de operações de segurança do Google
pode encaminhar os dados para as operações de segurança do Google.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Protocolo | Obrigatório | O protocolo de conexão que o coletor vai usar para detectar dados syslog. Os valores válidos são:
|
Endereço | Obrigatório | O endereço IP de destino ou o nome do host em que o coletor reside e detecta dados syslog. |
Porta | Obrigatório | A porta de destino em que o coletor reside e detecta dados syslog. |
Tamanho do buffer | Obrigatório | O tamanho em bytes do buffer do soquete. O padrão para TCP é 65536. O padrão para o UDP é 8192. |
Tempo limite de conexão | Obrigatório | O número de segundos de inatividade após os quais a conexão TCP é
encerrada. Padrão: 60 |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome de arquivo da chave de certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Pular verificação não segura de TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão: desativado |
WebProxy
Além de especificar os valores de campo para o Google SecOps Forwarder no Windows, instale a biblioteca Npcap no dispositivo ou máquina Windows. Isso não é necessário para o encaminhador de SecOps do Google em sistemas Linux.
Campo | Obrigatório ou opcional para este tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface para detectar dados do proxy da Web. |
Filtro de pacotes Berkeley | Obrigatório | O Filtro de pacotes Berkeley (BPF) para o proxy da Web. Exemplo: udp port 53 |
Solução de problemas
Os dados syslog não são recebidos pelo encaminhador
Verifique se as configurações do syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.