Gérer les configurations des redirecteurs via l'interface utilisateur Chronicle

Cette page explique comment créer, gérer et télécharger des configurations de redirecteur à l'aide de l'interface utilisateur (UI) Chronicle. Vous pouvez également effectuer ces tâches de manière automatisée à l'aide de l'API Forwarder Management.

Conventions de nommage

Ce document utilise les conventions d'attribution de noms suivantes:

  • transporteur Chronicle: composant logiciel déployé.
  • forwarder: nom court d'une configuration de redirecteur lorsqu'elle est stockée dans votre instance Chronicle.
  • collector: nom court d'une configuration de collecteur lorsqu'elle est stockée dans votre instance Chronicle.

Ajouter des redirecteurs

L'ajout d'un redirecteur est la première étape de la configuration d'un redirecteur Chronicle. L'ajout d'un redirecteur vous permet d'effectuer les opérations suivantes:

  • Nommez une configuration de redirecteur.
  • Spécifiez les valeurs de configuration du redirecteur.

L'ajout d'un nouveau redirecteur crée une configuration de redirecteur partiellement complète. Pour terminer la configuration du redirecteur, vous devez ajouter un collecteur. Après avoir ajouté au moins un collecteur, vous pouvez télécharger la configuration du redirecteur et la déployer sur une machine ou un appareil sur lequel le système de transfert Chronicle est installé.

Au lieu d'ajouter un nouveau redirecteur, vous pouvez cloner un ou plusieurs redirecteurs existants. Pour en savoir plus, consultez Cloner les redirecteurs.

Pour ajouter un nouveau redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders.
  3. Cliquez sur Ajouter un nouveau redirecteur.
  4. Dans le champ Nom du système de transfert, saisissez un nom.

  5. Facultatif: développez la section Valeurs de configuration et spécifiez les valeurs suivantes:

    • Upload compression (Compression d'importations) : sélectionnez Yes (Oui) pour compresser les données de journaux avant qu'elles ne soient importées dans Chronicle. La valeur par défaut est No. Pour en savoir plus sur la compression de données, consultez la section Compression de l'importation.
    • Espace de noms d'élément:saisissez un espace de noms qui identifie les journaux collectés par ce redirecteur. Cet espace de noms sera appliqué à tous les collecteurs ajoutés à ce redirecteur, sauf si vous spécifiez un espace de noms pour un collecteur au niveau du collecteur. Si vous spécifiez un espace de noms à la fois au niveau du redirecteur et au niveau du collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez Espaces de noms des éléments.
    • Clé du libellé et Valeur du libellé:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur Add new label (Ajouter un libellé) pour ajouter une ou plusieurs paires clé/valeur de libellé. Il s'agit d'un paramètre global qui s'applique au redirecteur et aux collecteurs du redirecteur, sauf s'il est remplacé au niveau du collecteur. Pour en savoir plus, consultez la section Étiquettes.
    • Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) pour trouver des correspondances avec chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le comportement en cas de correspondance est block sur la ligne entrante, puis continuez à évaluer la ligne suivante pour trouver une correspondance. Pour en savoir plus, consultez la section Filtres d'expressions régulières.

  6. (Collecte Syslog uniquement) Facultatif: Activez/Désactivez les paramètres du serveur pour configurer le serveur HTTP intégré au système de transfert, qui peut être utilisé pour configurer l'équilibrage de charge et les options de haute disponibilité pour la collecte syslog sous Linux. Pour plus d'informations sur ces paramètres, consultez la page Paramètres du serveur HTTP pour la collecte des journaux syslog.

  7. Cliquez sur Submit (Envoyer).

    Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.

  8. Dans le champ Nom du marchand, saisissez un nom.

  9. Cliquez sur le champ Type de journal pour afficher la liste des types de journaux, puis effectuez l'une des opérations suivantes:

    • Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans la zone pour afficher d'autres suggestions. Pour obtenir la liste complète des types de journaux acceptés, consultez la section Ensembles de données compatibles.
    • Sélectionnez un type de journal dans la liste.

  10. Facultatif: développez la section Valeurs de configuration et spécifiez l'un des éléments suivants:

    • Espace de noms d'élément:saisissez un espace de noms qui identifie les journaux collectés par ce collecteur. Si un espace de noms est spécifié pour un collecteur, celui-ci est utilisé à la place de l'espace de noms du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez la section Espaces de noms d'éléments.
    • Clé de libellé et valeur de libellé:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter une ou plusieurs paires clé/valeur de libellé supplémentaires. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifiées au niveau du redirecteur. Pour en savoir plus, consultez la section Étiquettes.
    • Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) pour qu'ils correspondent à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le comportement en cas de correspondance est block sur la ligne entrante, puis continuez à évaluer la ligne suivante pour trouver une correspondance. Pour en savoir plus, consultez la section Filtres d'expressions régulières.

  11. Facultatif: développez la section Paramètres avancés et spécifiez les éléments suivants:

    • Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est 10.
    • Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant l'importation groupée du redirecteur. La valeur par défaut est 1048576.

  12. Facultatif: Tampon disque:activez l'option pour activer la mise en mémoire tampon du disque pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:

    • Chemin d'accès au répertoire:chemin d'accès au répertoire pour les fichiers écrits.
    • Nombre maximal d'octets de tampon de fichier:taille de disque maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est 1073741824. Le maximum est de 4294967296.

  13. Cliquez sur le champ Type de collecteur et sélectionnez un type de collecteur. Chaque type de collecteur possède ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres du type de collecteur.

  14. Cliquez sur Submit (Envoyer).

Ajouter des collecteurs

Vous pouvez ajouter un ou plusieurs collecteurs à un redirecteur existant.

L'ajout d'un collecteur vous permet d'effectuer les opérations suivantes:

  • Nommez le collecteur.
  • Spécifiez le type de journal à collecter, par exemple Pan Firewall, Cisco ASA Firewall, etc.
  • Spécifiez le type de collecteur: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Spécifiez les valeurs de configuration du collecteur.

Après avoir ajouté au moins un collecteur à un redirecteur, vous pouvez télécharger la configuration du redirecteur et la déployer sur une machine ou un appareil sur lequel le redirecteur Chronicle est installé.

Pour ajouter un nouveau collecteur à un redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders.
  3. Sur la page Redirections, recherchez le redirecteur de votre choix. Si la liste des redirecteurs est longue, utilisez le champ Search.
  4. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez ajouter un collecteur. L'icône du menu développé s'affiche.
  5. Cliquez sur l'icône du menu Développer .
  6. Sélectionnez Ajouter un collecteur.
  7. Dans le champ Nom du marchand, saisissez un nom.

  8. Cliquez sur le champ Type de journal pour afficher la liste des types de journaux, puis effectuez l'une des opérations suivantes:

    • Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans la zone pour afficher d'autres suggestions. Pour obtenir la liste complète des types de journaux acceptés, consultez la section Ensembles de données compatibles.
    • Sélectionnez un type de journal dans la liste.

  9. Facultatif: développez la section Valeurs de configuration et spécifiez l'un des éléments suivants:

    • Espace de noms d'élément:saisissez un espace de noms qui identifie les journaux collectés par ce collecteur. Si un espace de noms est spécifié pour un collecteur, celui-ci est utilisé à la place de l'espace de noms du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez la section Espaces de noms d'éléments.
    • Clé de libellé et valeur de libellé:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter une ou plusieurs paires clé/valeur de libellé supplémentaires. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifiées au niveau du redirecteur. Pour en savoir plus, consultez la section Étiquettes.
    • Description du filtre, Expression régulière et Comportement du filtre:ajoutez des filtres qui filtrent les journaux en fonction d'une expression régulière (syntaxe RE2) pour qu'ils correspondent à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le comportement en cas de correspondance est block sur la ligne entrante, puis continuez à évaluer la ligne suivante pour trouver une correspondance. Pour en savoir plus, consultez la section Filtres d'expressions régulières.

  10. Facultatif: développez la section Paramètres avancés et spécifiez les éléments suivants:

    • Nombre maximal de secondes par lot:nombre de secondes entre les lots. La valeur par défaut est 10.
    • Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant l'importation groupée du redirecteur. La valeur par défaut est 1048576.

  11. Facultatif: Tampon disque:activez l'option pour activer la mise en mémoire tampon du disque pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:

    • Chemin d'accès au répertoire:chemin d'accès au répertoire pour les fichiers écrits.
    • Nombre maximal d'octets de tampon de fichier:taille de disque maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est 1073741824. Le maximum est de 4294967296.

  12. Cliquez sur le champ Type de collecteur et sélectionnez un type de collecteur. Chaque type de collecteur possède ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres du type de collecteur.

  13. Cliquez sur Submit (Envoyer).

Gérer les redirecteurs

Répertorier les redirecteurs dans une instance Chronicle

Pour répertorier les redirecteurs dans une instance Chronicle, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders. La page affiche la liste des redirecteurs.
  3. Facultatif: triez la liste en cliquant sur la colonne Nom ou Dernière mise à jour.

Vous pouvez également utiliser le champ de recherche pour affiner les résultats de votre liste.

redirecteurs clonés

Le clonage vous permet de créer une copie d'une ou de plusieurs configurations de redirecteur.

Pour cloner des redirecteurs, procédez comme suit:

  1. Sur la page Forwarders, cochez la case correspondant à chaque redirecteur que vous souhaitez cloner.

  2. Cliquez sur l'icône du menu Développer .

  3. Sélectionnez Cloner la sélection.

  4. Cliquez sur Clone (Cloner). Une copie de chaque redirecteur est ajoutée.

Modifier une configuration de redirecteur

Pour modifier la configuration d'un redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders. La page affiche la liste des redirecteurs.

  3. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez modifier la configuration. L'icône du menu développé s'affiche.

  4. Cliquez sur l'icône du menu Développer .

  5. Sélectionnez Modifier la configuration du redirecteur.

  6. Apportez vos modifications à la configuration. Pour plus d'informations, consultez les étapes de configuration de la procédure Ajouter des redirecteurs.

  7. Cliquez sur Submit (Envoyer).

Supprimer les redirecteurs

Pour supprimer des redirecteurs, procédez comme suit:

  1. Sur la page Redirections, cochez la case correspondant à chaque redirecteur que vous souhaitez supprimer.

  2. Cliquez sur l'icône du menu Développer .

  3. Sélectionnez Supprimer la sélection.

  4. Cliquez sur Supprimer la sélection.

Gérer les collecteurs

Répertorier les collecteurs dans une instance Chronicle

Pour répertorier les collecteurs dans une instance Chronicle, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders. La page affiche la liste des redirecteurs.
  3. Cliquez sur la flèche de développement à côté de l'en-tête de colonne Nom. Cette opération développe tous les redirecteurs et affiche jusqu'à cinq collecteurs pour chaque redirecteur.
  4. Si un redirecteur possède plus de cinq collecteurs, cliquez sur le lien See all collects (Voir tous les collecteurs).

Modifier une configuration de collecteur

Pour modifier une configuration de collecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders. La page affiche la liste des redirecteurs.

  3. Cliquez sur la flèche de développement du redirecteur pour lequel vous souhaitez modifier un collecteur.

  4. S'il y a plus de cinq collecteurs, cliquez sur le lien Voir tous les collecteurs.

  5. Gardez le pointeur de la souris sur le collecteur pour lequel vous souhaitez modifier la configuration. Le lien Modifier s'affiche.

  6. Cliquez sur Modifier.

  7. Apportez vos modifications à la configuration. Pour plus d'informations, consultez les étapes de configuration de la procédure Ajouter des collecteurs.

  8. Cliquez sur Submit (Envoyer).

Supprimer un collecteur

Pour supprimer un collecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders. La page affiche la liste des redirecteurs.

  3. Cliquez sur la flèche de développement du redirecteur pour lequel vous souhaitez supprimer un collecteur.

  4. S'il y a plus de cinq collecteurs, cliquez sur le lien Voir tous les collecteurs.

  5. Gardez le pointeur de la souris sur le collecteur pour lequel vous souhaitez modifier la configuration. Le lien Supprimer s'affiche.

  6. Cliquez sur le lien Supprimer.

  7. Pour confirmer, cliquez sur le bouton Supprimer.

Télécharger les fichiers de configuration

Le téléchargement d'un redirecteur nécessite au moins un collecteur. Si vous essayez de télécharger un redirecteur sans collecteur, un message d'erreur s'affiche.

Vous pouvez télécharger le fichier de configuration (.conf) du redirecteur, le fichier d'authentification (_auth.conf) ou les deux pour tout redirecteur répertorié dans votre instance Chronicle, à condition qu'il comporte au moins un collecteur. Après avoir téléchargé les fichiers, vous devez les déployer sur le système Windows ou Linux où se trouve le transfert Chronicle.

Pour télécharger les fichiers de configuration du redirecteur:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Forwarders. La page affiche la liste des redirecteurs.

  3. Sur la page Redirections, recherchez le redirecteur de votre choix. Si la liste des redirecteurs est longue, utilisez le champ Search.

  4. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez télécharger les fichiers de configuration. L'icône du menu développé s'affiche.

  5. Cliquez sur l'icône du menu Développer .

  6. Sélectionnez Télécharger.

  7. Dans la boîte de dialogue Download redirecter configuration (Télécharger la configuration du redirecteur), effectuez l'une des opérations suivantes:

    • Pour télécharger le fichier de configuration du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier .conf.
    • Pour télécharger le fichier d'authentification du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier _auth.conf.
    • Pour télécharger les deux fichiers, cliquez sur Tout télécharger.

Référence des paramètres de configuration

Les configurations du redirecteur incluent un ou plusieurs collecteurs.

Vous pouvez configurer les paramètres suivants au niveau du redirecteur:

Vous pouvez configurer les paramètres suivants au niveau du redirecteur et au niveau du collecteur. Pour comprendre le résultat de la configuration du paramètre aux deux niveaux, consultez la section correspondante.

Vous pouvez configurer les paramètres suivants au niveau du collecteur:

Compression des vidéos mises en ligne

Par défaut:Activé

Vous pouvez configurer la compression de l'importation pour un redirecteur, mais pas pour un collecteur. Lorsqu'il est activé, ce paramètre compresse les journaux avant qu'ils ne soient importés dans Chronicle. Cela réduit la consommation de bande passante réseau lors du transfert vers Chronicle. Cependant, la compression peut entraîner une utilisation accrue du processeur.

Le compromis entre la bande passante et l'utilisation du processeur dépend de nombreux facteurs, y compris du type de données de journaux, de la compressibilité de ces données, de la disponibilité des cycles de processeur sur l'hôte exécutant le redirecteur, et de la nécessité de réduire la consommation de bande passante réseau. Par exemple, les journaux textuels sont bien compressés et peuvent permettre de réaliser des économies substantielles en bande passante avec une faible utilisation du processeur. Toutefois, les charges utiles chiffrées des paquets bruts ne sont pas correctement compressées et entraînent une utilisation plus élevée du processeur.

Espaces de noms des éléments

Par défaut:le champ est vide s'il n'est pas spécifié.

Vous pouvez configurer un espace de noms d'élément pour un redirecteur, un collecteur ou les deux. Vous pouvez utiliser un espace de noms pour identifier les journaux provenant de segments de réseau distincts et résoudre les conflits d'adresses IP qui se chevauchent. Tous les espaces de noms que vous configurez apparaissent avec les éléments associés dans l'interface utilisateur Chronicle. Vous pouvez également rechercher des espaces de noms à l'aide de la fonctionnalité de recherche Chronicle.

Vous pouvez spécifier un espace de noms pour un redirecteur et des espaces de noms différents pour un ou plusieurs collecteurs du redirecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de l'espace de noms du redirecteur pour les journaux de ce collecteur.

Pour en savoir plus sur l'utilisation des espaces de noms, consultez la section Espaces de noms d'éléments.

Étiquettes

Par défaut:les champs sont vides s'ils ne sont pas spécifiés.

Vous pouvez configurer des étiquettes pour un redirecteur, un collecteur ou les deux. Les étiquettes permettent d'associer des métadonnées arbitraires aux journaux à l'aide de paires clé/valeur. Les étiquettes peuvent être configurées pour l'ensemble d'un redirecteur ou dans un collecteur spécifique d'un redirecteur. Si les deux sont fournis, les étiquettes sont fusionnées avec les clés du collecteur qui prévalent sur les clés du redirecteur si les clés se chevauchent.

Filtres d'expression régulière

Par défaut:les champs sont vides s'ils ne sont pas spécifiés.

Vous pouvez configurer des filtres d'expressions régulières pour un redirecteur, un collecteur ou les deux. Les filtres d'expressions régulières vous permettent de bloquer ou d'autoriser les lignes entrantes d'un journal brut correspondant à l'expression.

Les filtres utilisent la syntaxe RE2.

Les filtres doivent inclure une expression régulière et, éventuellement, définir un comportement en cas de correspondance. Le comportement par défaut en cas de correspondance est le blocage (vous pouvez aussi le configurer explicitement en tant que bloc).

Vous pouvez également spécifier des filtres avec le comportement allow. Si vous spécifiez des filtres d'autorisation, le redirecteur bloque tous les journaux qui ne correspondent à aucun filtre d'autorisation.

Il est possible de définir un nombre arbitraire de filtres. Les filtres de bloc sont prioritaires sur les filtres d'autorisation.

Lorsque des filtres sont définis, un nom doit leur être attribué. Les noms des filtres actifs sont transmis à Chronicle à l'aide des métriques d'état du redirecteur. Les filtres définis au niveau du redirecteur sont fusionnés avec ceux définis au niveau du collecteur. Les filtres au niveau du collecteur sont prioritaires en cas de conflit de noms. Si aucun filtre n'est défini au niveau du redirecteur ou du collecteur, le comportement consiste à tout autoriser.

Paramètres du serveur HTTP pour la collecte syslog

Le redirecteur Chronicle peut être déployé dans un environnement où un équilibreur de charge de couche 4 est installé entre la source de données et les instances du redirecteur. Cela vous permet de distribuer la collecte de journaux sur plusieurs redirecteurs ou d'envoyer les journaux à un autre redirecteur en cas d'échec de l'un d'entre eux. Cette fonctionnalité n'est compatible qu'avec le type de collection syslog.

Le redirecteur inclut un serveur HTTP intégré qui répond aux vérifications d'état HTTP provenant de l'équilibreur de charge. Le serveur HTTP contribue également à s'assurer que les journaux ne sont pas perdus au démarrage ou à l'arrêt d'un redirecteur.

Les paramètres de serveur des configurations de redirecteur permettent de définir des durées de délai avant expiration et des codes d'état renvoyés en réponse aux vérifications d'état reçues par le planificateur de conteneurs et les déploiements basés sur l'orchestration, et par les équilibreurs de charge traditionnels.

Utilisez les chemins d'URL suivants pour les vérifications d'état, d'aptitude et d'activité. Les valeurs <host:port> sont définies dans la configuration du redirecteur.

  • http://<host:port>/meta/available: vérifications d'activité pour les planificateurs/orchestrateurs de conteneurs, tels que Kubernetes.
  • http://<host:port>/meta/ready: vérifications d'aptitude et vérifications d'état traditionnelles de l'équilibreur de charge.
Paramètre Description
Délai d'expiration progressif Durée pendant laquelle de nouvelles connexions sont toujours acceptées une fois que le redirecteur a renvoyé un état "non prêt" en réponse à une vérification de l'état. C'est également le temps d'attente entre la réception d'un signal d'arrêt et le début réel de l'arrêt du serveur lui-même. Cela laisse à l'équilibreur de charge le temps de supprimer le redirecteur du pool.

Les valeurs valides sont exprimées en secondes. Par exemple, pour indiquer 10 secondes, saisissez 10.. Les valeurs décimales ne sont pas autorisées.

Par défaut:15 secondes
Délai avant expiration du drainage Durée pendant laquelle le redirecteur attend que les connexions actives se ferment elles-mêmes avant d'être fermées par le serveur. Par exemple, pour indiquer 5 secondes, saisissez 5.. Les valeurs décimales ne sont pas autorisées.

Par défaut:10 secondes
Port Numéro de port sur lequel le serveur HTTP écoute les vérifications d'état provenant de l'équilibreur de charge. La valeur doit être comprise entre 1024 et 65 535.

Par défaut : 8080
Adresse IP/Nom d'hôte Adresse IP, ou nom d'hôte pouvant être résolu en adresse IP, que le serveur doit écouter.

Par défaut:0.0.0.0 (système local)
Délai de lecture Permet de régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Temps maximal autorisé pour lire l'intégralité de la requête, à la fois l'en-tête et le corps. Vous pouvez définir à la fois le champ Read header time (Délai avant expiration de la lecture de l'en-tête) et read header timeout.

Par défaut:3 secondes
Expiration du délai de lecture de l'en-tête Permet de régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Temps maximal autorisé pour lire les en-têtes de requêtes. Le délai de lecture de la connexion est réinitialisé après la lecture de l'en-tête.

Par défaut:3 secondes
Expiration du délai d'écriture Permet de régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Temps maximal autorisé pour l'envoi d'une réponse. Elle est réinitialisée lorsqu'un nouvel en-tête de requête est lu.

Par défaut:3 secondes
Délai d'inactivité Permet de régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier le paramètre par défaut. Délai d'attente maximal pour la requête suivante lorsque les connexions inactives sont activées. Si le champ idle timeout est défini sur zéro, la valeur du champ read timeout est utilisée. Si les deux valeurs sont égales à zéro, le champ read header délai d'expiration est utilisé.

Par défaut:3 secondes
Code d'état disponible Code d'état renvoyé par le redirecteur lorsqu'une vérification d'activité est reçue et que le redirecteur est disponible. Les programmeurs et les orchestrations de conteneurs, tels que Kubernetes, envoient souvent des vérifications d'activité.

Par défaut:204
Code d'état "Prêt" Code d'état renvoyé par le redirecteur lorsqu'il est prêt à accepter le trafic dans l'une des situations suivantes:
  • Une vérification d'aptitude est reçue d'un programmeur ou d'un orchestration de conteneurs, tel que Kubernetes.
  • Un équilibreur de charge traditionnel envoie une vérification de l'état.
Par défaut:204
Code d'état "Non prêt" Code d'état renvoyé par le redirecteur lorsqu'il n'est pas prêt à accepter le trafic.

Par défaut:503

Type de journal

Pour obtenir la liste complète des types de journaux acceptés, consultez la page Ensembles de données compatibles.

Mise en mémoire tampon du disque

La mise en mémoire tampon vous permet de mettre en mémoire tampon les messages en attente sur le disque plutôt que dans la mémoire. Les messages en attente peuvent être stockés au cas où le système de transfert ou l'hôte sous-jacent planterait. Sachez que l'activation de la mise en mémoire tampon du disque peut affecter les performances.

Si la mise en mémoire tampon du disque est désactivée, le collecteur utilise 1 Go de mémoire (RAM) pour les journaux qu'il collecte. Vous pouvez spécifier la valeur maximale à l'aide du paramètre Nombre maximal d'octets de tampon de fichier dans la configuration du collecteur. Ce paramètre détermine la taille de RAM maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La valeur par défaut est 1073741824. La valeur maximale est 4294967296.

Si vous exécutez le redirecteur à l'aide de Docker, Google vous recommande d'installer un volume distinct du volume de configuration à des fins d'isolation. En outre, chaque entrée doit être isolée avec son propre répertoire ou volume pour éviter les conflits.

Paramètres du type de collecteur

Chaque configuration de collecteur doit spécifier un type de collecteur. Cette section décrit les types de collecteurs et leurs paramètres.

Fichier

Utilisez le type de collecteur file pour importer des journaux à partir d'un seul fichier journal.

Champ Champ obligatoire ou facultatif pour ce type Description
Chemin d'accès au fichier Requis Chemin d'accès au répertoire et nom de fichier Exemple:


/opt/chronicle/edr/output/sample.txt

Kafka

Utilisez le type de collecteur kafka pour ingérer les données des sujets Kafka. Les groupes de consommateurs Kafka vous permettent de déployer jusqu'à trois redirecteurs Chronicle afin d'extraire des données du même sujet Kafka. Pour en savoir plus, consultez Kafka. Pour en savoir plus sur les groupes de consommateurs Kafka, consultez la page Client Kafka.

Champ Obligatoire ou facultatif pour ce type Description
Nom d'utilisateur Requis Nom d'utilisateur d'une identité utilisée pour l'authentification.
Mot de passe Requis Mot de passe du compte associé au nom d'utilisateur.
Thème Requis Sujet Kafka à partir duquel ingérer les données.
ID du groupe Requis Un ID de groupe.
Délai avant expiration Requis Nombre maximal de secondes pendant lesquelles un utilisateur attend la fin d'une connexion.

Par défaut : 60
Courtiers Facultatif Saisissez un courtier dans la zone de texte. Exemple:


broker-1:9092


Cliquez sur Ajouter un autre courtier pour ajouter un autre courtier.

Remarque:Toutes les valeurs sont remplacées lors d'une opération de mise à jour. Par conséquent, pour mettre à jour une liste de courtiers afin d'ajouter un courtier, spécifiez tous les courtiers existants ainsi que le nouveau courtier.
Certificat TLS Requis Chemin d'accès et nom de fichier du certificat. Exemple:


/path/to/cert.pem

Clé de certificat TLS Requis Nom du chemin d'accès et de la clé de certificat. Exemple:


/path/to/cert.key

Version minimale de TLS Requis Version minimale de TLS.

Exemple:TLSv1_3
Validation TLS non sécurisée Requis Active la validation de la certification SSL.

Par défaut:désactivé

Capuchon

Cette section comprend les rubriques suivantes:

Utiliser pcap sous Windows

Le redirecteur Chronicle peut capturer des paquets directement à partir d'une interface réseau à l'aide de Npcap sur les systèmes Windows.

Contactez l'assistance Chronicle pour mettre à jour le fichier de configuration de votre redirecteur Chronicle afin de prendre en charge la capture de paquets.

Pour exécuter un redirecteur de capture de paquets (PCAP), vous avez besoin des éléments suivants:

  • Installez Npcap sur l'hôte Microsoft Windows.
  • Sur l'hôte Windows, accordez les droits racine ou administrateur du redirecteur Chronicle pour surveiller l'interface réseau.
  • Aucune option de ligne de commande n'est nécessaire.
  • Sur l'installation de Npcap, activez le mode de compatibilité WinPcap.
Utiliser pcap sous Linux

Utilisez le type de collecteur pcap pour capturer des paquets directement à partir d'une interface réseau à l'aide de libcap sous Linux. Pour en savoir plus sur libcap, consultez la page de manuel de libcap sur Linux.

Les paquets sont capturés et envoyés à Chronicle à la place des entrées de journal. La capture de paquets n'est gérée qu'à partir d'une interface locale.

Chronicle configure le redirecteur Chronicle avec l'expression BPF (Berkeley Packet Filter) utilisée lors de la capture des paquets (par exemple, sur le port 53 et non sur localhost). Pour plus d'informations, consultez la section Filtres de paquets de Berkeley.

Paramètres du collecteur pour pcap

Les mêmes paramètres de configuration du collecteur s'appliquent à un hôte Linux ou Windows.

Champ Obligatoire ou facultatif pour ce type Description
Interface réseau Requis Interface à écouter pour les données PCAP.

Remarque:Pour un hôte Windows, il s'agit du GUID de l'interface utilisée pour capturer des paquets. Pour obtenir cette valeur, exécutez getmac.exe sur la machine sur laquelle est installé Chronicle Forwarder (le serveur ou la machine qui écoute sur le port de segment). La sortie getmac.exe commence par \Device\Tcpip_. Remplacez-la par \Device\NPF_.

Exemple:


\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtre de paquets Berkeley Requis Le filtre de paquets Berkeley (BPF) pour pcap.

Exemple: udp port 53

Splunk

Utilisez le type de collecteur splunk pour collecter les données Splunk.

Champ Obligatoire ou facultatif pour ce type Description
Nom d'utilisateur Requis Nom d'utilisateur d'une identité utilisée pour l'authentification.
Mot de passe Requis Mot de passe du compte identifié par le nom d'utilisateur.
Hôte Requis Hôte ou adresse IP de l'API REST Splunk.

Exemple: https://10.0.113.15
Port Requis Port de l'API REST Splunk.
Taille minimale de la fenêtre Requis Période minimale en secondes transmise à la requête Splunk. Ce paramètre est utilisé à des fins de réglage si l'exigence consiste à modifier la fréquence d'interrogation du serveur Splunk lorsque le redirecteur est en état stable. En outre, en cas de décalage, l'appel d'API Splunk peut être effectué plusieurs fois.

Par défaut:10
Taille maximale de la fenêtre Requis Période maximale en secondes transmise à la requête Splunk. Ce paramètre est utilisé à des fins de réglage en cas de délai ou lorsque des données supplémentaires sont requises par requête.

Modifiez ce paramètre (égal ou supérieur à) lorsque vous changez le paramètre minimal. Des délais peuvent survenir si un appel de requête Splunk dépasse la taille maximale de la fenêtre.

Remarque : Les périodes ne se chevauchent jamais lorsque le serveur Splunk est interrogé. La période interrogée est toujours comprise entre les paramètres de fenêtre minimal et maximal.

Par défaut:30
Chaîne de requête Requis Requête utilisée pour filtrer les enregistrements dans Splunk.

Exemple: search index=* sourcetype=dns
Mode de requête Requis Mode de requête pour Splunk.

Exemple: realtime
Certification ignorée Facultatif Si cette option est activée, le certificat est ignoré.

Par défaut:désactivé

Syslog

Utilisez le type de collecteur syslog pour collecter les données syslog. Vous pouvez configurer n'importe quel dispositif ou serveur compatible avec l'envoi de données syslog via une connexion TCP ou UDP pour transférer ses données à Chronicle Forwarder. Vous pouvez contrôler les données exactes que l'appareil ou le serveur envoie à Chronicle Forwarder. Chronicle Forwarder peut ensuite transférer les données à Chronicle.

Champ Obligatoire ou facultatif pour ce type Description
Protocole Requis Protocole de connexion que le collecteur utilisera pour écouter les données syslog. Les valeurs possibles sont les suivantes :

  • TCP
  • UDP
Adresse Requis Adresse IP ou nom d'hôte cible où réside et écoute les données syslog.
Port Requis Port cible sur lequel réside le collecteur et écoute les données syslog.
Taille de la mémoire tampon Requis Taille du tampon du socket, en octets.

La valeur par défaut pour le protocole TCP est 65536.
La valeur par défaut pour UDP est 8192.
Délai de connexion Requis Nombre de secondes d'inactivité au terme duquel la connexion TCP est interrompue.

Par défaut:60
Certificat TLS Requis Chemin d'accès et nom de fichier du certificat. Exemple:


/path/to/cert.pem

Clé de certificat TLS Requis Nom du chemin d'accès et de la clé de certificat. Exemple:


/path/to/cert.key

Version minimale de TLS Requis Version minimale de TLS.

Exemple: TLSv1_3
Validation TLS non sécurisée Requis Active la validation de la certification SSL.

Par défaut:désactivé

WebProxy

En plus de spécifier les valeurs de champ indiquées ci-dessous, pour Chronicle Forwarder sous Windows, installez la bibliothèque Npcap sur la machine ou l'appareil Windows. Cette opération n'est pas nécessaire pour Chronicle Forwarder sur les systèmes Linux.

Champ Obligatoire ou facultatif pour ce type Description
Interface réseau Requis Interface à écouter pour les données de proxy Web.
Filtre de paquets Berkeley Requis Filtre de paquets Berkeley (BPF) pour le proxy Web.

Exemple: udp port 53

Dépannage

Les données Syslog ne sont pas reçues par le redirecteur

Vérifiez que les paramètres syslog du collecteur sont configurés de manière à utiliser le protocole de connexion approprié (TCP ou UDP) pour les données entrantes. Pour en savoir plus, consultez la section Modifier un collecteur.