透過使用者介面管理轉送站設定

支援的國家/地區:

本頁說明如何使用 Google SecOps 使用者介面 (UI) 建立、管理及下載轉送器設定。

轉送站設定程序分為兩個步驟:

  1. 新增轉送器設定:建立設定架構。
  2. 新增收集器設定:定義轉送程式要擷取的資料來源。如果沒有至少一個收集器,轉送站就沒有任何資料可供處理。

新增一或多個收集器後,轉送站設定即完成。然後下載並部署到已安裝轉送器軟體的電腦或裝置。

如要瞭解如何安裝及設定 Google SecOps 轉送器、系統需求,以及設定詳細資料,請參閱「安裝及設定轉送器」。

新增轉送站設定

您可以複製一或多個現有轉送器,不必新增轉送器。詳情請參閱「複製轉寄者」。

如要新增轉寄者,請按照下列步驟操作:

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」
  3. 按一下「新增轉寄者」
  4. 在「轉寄者名稱」欄位中輸入名稱。

  5. 選用:展開「設定值」部分,然後指定值。如要瞭解設定,請參閱「判斷設定」。

  6. 按一下「提交」

    轉送器新增完成後,系統會顯示「新增收集器設定」視窗。

新增收集器設定

您可以將一或多個收集器新增至現有轉送站。如要將新的收集器新增至轉送器,請按照下列步驟操作:

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」
  3. 在「轉寄者」頁面中,找出所需轉寄者。如果轉寄者清單很長,請使用「搜尋」欄位。
  4. 將指標懸停在要新增收集器的轉寄器上。系統會顯示「展開選單」圖示
  5. 按一下「展開選單」圖示
  6. 選取「新增收集器」
  7. 在「收集器名稱」欄位中輸入名稱。

  8. 按一下「記錄類型」欄位,查看記錄類型清單,然後執行下列其中一項操作:

    • 如果沒有看到想要的記錄類型,請在方塊中輸入名稱,查看更多建議。如需支援的記錄檔類型完整清單,請參閱「支援的資料集」。
    • 從清單中選取記錄類型。

  9. 選用:展開「設定值」部分,然後指定值。如要瞭解設定,請參閱「判斷設定」。

  10. 選用:展開「進階設定」部分,然後指定下列任一項目:

    • 個別批次的處理秒數上限:不同批次之間的間隔秒數。預設值為 10
    • 每個批次的位元組數上限:有多少位元組排入佇列之後,轉送站才會上傳批次。最小值為 204800 bytes,即 200 KB。最多可新增 1048576 bytes 個,也就是 1MB。預設值為 1,048,576 bytes,即 1MB

  11. 建議:磁碟緩衝區:將切換鈕設為開啟,即可為收集器啟用磁碟緩衝區。如要瞭解磁碟緩衝區的詳細資訊,請參閱「磁碟緩衝區」。啟用後,您可以指定下列設定:

    • 目錄路徑:寫入檔案的目錄路徑。
    • 緩衝檔案大小上限 (位元組):收集器使用的磁碟大小達到這個上限之後,待處理的訊息就會暫存至磁碟。預設值為 1,073,741,824。 上限為 4,294,967,296 個。

  12. 選用步驟:覆寫時區:按一下切換按鈕,將其設為開啟,然後從「時區」清單中選取自訂時區,即可覆寫記錄的預設時區。只有在原始記錄未於來源中包含正確時區時,才啟用這項設定。啟用前,請確保記錄的時間戳記格式一致。

    所選時區會套用至 Google SecOps 的伺服器端。即使產生的設定檔包含這項設定,轉送器也會忽略。

  13. 按一下「收集器類型」欄位,然後選取收集器類型。每種收集器類型都有自己的設定,您可以進行設定。如要進一步瞭解收集器類型及其設定,請參閱「判斷設定」。

  14. 按一下「提交」

下載設定檔

如要下載轉送站設定檔,至少須有一個收集器。如果嘗試下載轉送器,但沒有收集器,系統會顯示錯誤訊息。

只要轉送器至少有一個收集器,您就能為 Google SecOps 執行個體中列出的任何轉送器,下載轉送器設定 (.conf) 檔案、驗證 (_auth.conf) 檔案或兩者。下載檔案後,請在 Google SecOps 轉送器所在的 Windows 或 Linux 系統上部署檔案。

如要下載轉送站設定檔,請按照下列步驟操作:

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」。頁面會顯示轉寄者清單。

  3. 在「轉寄者」頁面中,找出所需轉寄者。如果轉寄者清單很長,請使用「搜尋」欄位。

  4. 將指標懸停在要下載設定檔的轉送站上。系統會顯示「展開選單」圖示

  5. 按一下「展開選單」圖示

  6. 選取「下載」

  7. 在「Download forwarder configuration」(下載轉送站設定) 對話方塊中,執行下列其中一項操作:

    • 如要下載轉送站設定檔,請點選「.conf」檔案類型旁的「下載」圖示
    • 如要下載轉寄者驗證檔案,請點選 _auth.conf 檔案類型旁的下載圖示
    • 如要下載兩個檔案,請按一下「全部下載」

管理轉寄者

本節說明如何查看及管理轉寄者。

列出 Google SecOps 執行個體中的轉送器

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」。頁面會顯示轉寄者清單。
  3. 選用:按一下「名稱」或「上次更新時間」欄,即可排序清單。

(選用) 使用搜尋欄位縮小清單中的結果範圍。

複製轉送站

複製功能可讓您建立一或多個轉送站設定的副本。

如要複製轉送器設定,請按照下列步驟操作:

  1. 在「轉寄者」頁面中,找出要複製的各個轉寄者,然後選取對應的核取方塊。

  2. 按一下「展開選單」圖示

  3. 選取「複製」

  4. 按一下「Clone」。系統會新增每個轉寄者設定的副本。

編輯轉送站設定

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」。頁面會顯示轉寄者清單。

  3. 將指標懸停在要編輯設定的轉寄者上。系統會顯示「展開選單」圖示

  4. 按一下「展開選單」圖示

  5. 選取「編輯轉送站設定」

  6. 變更設定。詳情請參閱新增轉送器程序中的設定步驟。

  7. 按一下「Update」

刪除轉寄者

  1. 在「轉寄者」頁面中,找出要刪除的各個轉寄者,然後選取名稱旁的核取方塊。

  2. 按一下「展開選單」圖示

  3. 選取 [刪除]

  4. 在「Delete Forwarder」(刪除轉寄者) 對話方塊中,按一下「Delete」(刪除)

管理收集器

本節說明如何查看及管理收集器。

列出 Google SecOps 執行個體中的收集器

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」。頁面會顯示轉寄者清單。
  3. 按一下「名稱」欄標題旁的展開箭頭。這會展開所有轉送站,並顯示每個轉送站最多五個收集器。
  4. 如果轉寄者有超過五位收集者,請按一下「查看所有收集者」連結。

編輯收集器設定

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」。頁面會顯示轉寄者清單。

  3. 找出要編輯收集器的轉送器,然後點選 展開箭頭。

  4. 如果收集者超過五位,請按一下「查看所有收集者」連結。

  5. 將指標懸停在要編輯設定的收集器上。系統會顯示「編輯」選項。

  6. 按一下 [編輯]

  7. 變更設定。詳情請參閱新增收集器程序中的設定步驟。

  8. 按一下「Update」

刪除收集器

  1. 按一下導覽列中的「設定」
  2. 按一下「設定」下方的「轉寄者」。頁面會顯示轉寄者清單。

  3. 找出要刪除收集器的轉送站,然後點選展開箭頭

  4. 如果收集者超過五位,請按一下「查看所有收集者」連結。

  5. 將指標懸停在要編輯設定的收集器上。系統會顯示「刪除」選項。

  6. 點選「刪除」。

  7. 如要確認,請在「刪除收集器」對話方塊中按一下「刪除」

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。