Forwarder-Konfigurationen über die Google Security Operations-UI verwalten

Auf dieser Seite wird beschrieben, wie Sie Forwarder-Konfigurationen erstellen, verwalten und herunterladen über die Benutzeroberfläche von Google Security Operations. Sie können diese Aufgaben auch programmatisch ausführen, indem Sie die Forwarder Management API.

Namenskonventionen

In diesem Dokument werden die folgenden Namenskonventionen verwendet:

  • Google Security Operations Forwarder: Die bereitgestellte Softwarekomponente.
  • forwarder: Der Kurzname für eine Forwarder-Konfiguration, wenn sie in Ihrer Google Security Operations-Instanz gespeichert wird.
  • collector: Der Kurzname für eine Collector-Konfiguration, wenn sie in Ihrer Google Security Operations-Instanz gespeichert wird.

Forwarder hinzufügen

Das Hinzufügen eines Forwarders ist der erste Schritt bei der Konfiguration eines Google Security Operations Forwarder. Wenn Sie eine Weiterleitung hinzufügen, haben Sie folgende Möglichkeiten:

  • Benennen Sie eine Forwarder-Konfiguration.
  • Geben Sie Werte für die Weiterleitungskonfiguration an.

Durch das Hinzufügen eines neuen Forwarders wird eine teilweise vollständige Forwarder-Konfiguration erstellt. Bis die Forwarder-Konfiguration abschließen, Collector hinzufügen Nachdem Sie mindestens einen Collector hinzugefügt haben, können Sie den Forwarder herunterladen konfigurieren und auf einem Computer oder Gerät bereitstellen, auf dem sich Google Security Operations Forwarder befindet installiert haben.

Anstatt eine neue Weiterleitung zu hinzufügen, können Sie eine oder mehrere vorhandene klonen. Forwardern. Weitere Informationen finden Sie unter Forwarder klonen:

So fügen Sie einen neuen Forwarder hinzu:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder.
  3. Klicken Sie auf Neuen Forwarder hinzufügen.
  4. Geben Sie im Feld Forwarder name einen Namen ein.

  5. Optional: Maximieren Sie den Bereich Konfigurationswerte und legen Sie eine der folgenden Optionen fest:

    • Upload-Komprimierung:Wählen Sie Ja aus, um Protokolldaten vor der Aufnahme zu komprimieren. in Google Security Operations hochgeladen. Der Standardwert ist Nein. Weitere Informationen zu Daten Komprimierung finden Sie unter Uploadkomprimierung:
    • Asset-Namespace:Geben Sie einen Namespace ein, der die Logs identifiziert, die die von diesem Forwarder erfasst wurden. Dieser Namespace wird auf alle Collectors angewendet, die diesem Forwarder hinzugefügt werden, sofern Sie keinen Namespace für einen Collector auf Collector-Ebene angeben. Wenn Sie einen Namespace sowohl auf der Forwarder-Ebene als auch auf der Collector-Ebene angeben, wird für die Logs aus diesem Collector der Namespace des Collectors anstelle des Namespace des Forwarders verwendet. Weitere Informationen zu Asset-Namespaces finden Sie unter Asset-Namespaces.
    • Labelschlüssel und Labelwert:Geben Sie einen Schlüssel und einen Wert ein. Bei Bedarf können Sie können Sie auch auf Neues Label hinzufügen klicken, um ein oder mehrere zusätzliche Labels Schlüssel/Wert-Paare. Dies ist eine globale Einstellung, die für den Forwarder und Die Collectors des Forwarders, es sei denn, dies wird auf Collector-Ebene überschrieben. Weitere Informationen finden Sie unter Labels:
    • Filterbeschreibung, Regulärer Ausdruck und Filterverhalten: Filter hinzufügen, die Logs basierend auf einem regulären Ausdruck filtern (RE2-Syntax) wird mit jeder eingehenden Zeile des Rohprotokolls abgeglichen. Das Filterverhalten bestimmt, ob die eingehende Zeile nach einer Übereinstimmung mit allow oder block versehen wird. Standardmäßig, einschließlich beim Filterverhalten unspecified, wird der Parameter bei einer Übereinstimmung ist es, die eingehende Leitung zu block und dann fortzufahren der nächsten Zeile auf eine Übereinstimmung aus. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke:

  6. (Nur Syslog-Erfassung) Optional: Aktivieren Sie die Option Servereinstellungen auf integrierten HTTP-Server des Forwarders konfigurieren, mit dem Load-Balancing- und Hochverfügbarkeitsoptionen für Syslog konfigurieren unter Linux. Weitere Informationen zu diesen Einstellungen finden Sie unter HTTP-Servereinstellungen für Syslog-Erfassung

  7. Klicken Sie auf Senden.

    Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.

  8. Geben Sie im Feld Collector-Name einen Namen ein.

  9. Klicken Sie auf das Feld Logtyp, um eine Liste der Logtypen aufzurufen, und führen Sie einen der folgenden Schritte aus: Folgendes:

    • Wenn Sie den gewünschten Logtyp nicht sehen, beginnen Sie mit der Eingabe seines Namens in das Feld Feld, um weitere Vorschläge anzuzeigen. Eine vollständige Liste der unterstützten Logtypen Siehe Unterstützte Datensätze.
    • Wählen Sie einen Logtyp aus der Liste aus.

  10. Optional: Maximieren Sie den Bereich Konfigurationswerte und geben Sie beliebige Werte an. zu verwenden:

    • Asset-Namespace:Geben Sie einen Namespace ein, der die Logs identifiziert, die die von diesem Collector erfasst wurden. Wenn für einen Collector ein Namespace angegeben ist, Der Namespace des Collectors wird anstelle des Namespace des Forwarders für die Logs von diesem Collector. Weitere Informationen zu Asset-Namespaces Siehe Asset-Namespaces:
    • Labelschlüssel und Labelwert:Geben Sie einen Schlüssel und einen Wert ein. Bei Bedarf können Sie können Sie auch auf Weitere hinzufügen klicken, um ein oder mehrere zusätzliche Labels Schlüssel/Wert-Paare. Für die Logs dieses Collectors werden Labels durch diese Einstellung überschrieben die auf Weiterleitungsebene angegeben sind. Weitere Informationen finden Sie unter Labels:
    • Filterbeschreibung, Regulärer Ausdruck und Filterverhalten: Filter hinzufügen, die Logs basierend auf einem regulären Ausdruck filtern (RE2-Syntax) mit jeder eingehenden Zeile des Rohprotokolls übereinstimmt. Das Filterverhalten bestimmt, ob die eingehende Zeile bei einer Übereinstimmung mit allow oder block versehen wird. Standardmäßig, einschließlich beim Filterverhalten unspecified, wird der Parameter bei einer Übereinstimmung ist es, die eingehende Leitung zu block und dann fortzufahren der nächsten Zeile auf eine Übereinstimmung aus. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke:

  11. Optional: Maximieren Sie den Bereich Erweiterte Einstellungen und geben Sie eine der folgenden Optionen an: Folgendes:

    • Max. Sekunden pro Batch:Anzahl der Sekunden zwischen Batches. Der Standardwert ist 10.
    • Max. Byte pro Batch:Anzahl der Byte, die vor dem Forwarder in die Warteschlange gestellt wurden im Batch hochladen. Der Standardwert ist 1048576.

  12. Optional: Laufwerkzwischenspeicher:Stellen Sie die Ein/Aus-Schaltfläche auf Ein, um das Laufwerk zu aktivieren. der Zwischenspeicherung für den Collector. Weitere Informationen zur Zwischenspeicherung von Laufwerken Siehe Datenträgerzwischenspeicherung. Wenn diese Option aktiviert ist, können Sie die folgenden Einstellungen festlegen:

    • Verzeichnispfad: Der Verzeichnispfad für geschriebene Dateien.
    • Max file buffer bytes: Die maximale vom Collector verwendete Laufwerkgröße bevor zurückgestellte Nachrichten auf dem Laufwerk zwischengespeichert werden. Der Standardwert ist 1073741824. Das Maximum ist 4294967296.

  13. Klicken Sie auf das Feld Collector-Typ und wählen Sie einen Collector-Typ aus. Jedes hat eigene Einstellungen, die Sie konfigurieren können. Weitere Informationen Informationen zu den Collector-Typen und ihren Einstellungen finden Sie unter Einstellungen für den Collector-Typ

  14. Klicken Sie auf Senden.

Collectors hinzufügen

Sie können einem vorhandenen Forwarder einen oder mehrere Collectors hinzufügen.

Durch das Hinzufügen eines Collectors können Sie Folgendes tun:

  • Benennen Sie den Collector.
  • Geben Sie den zu erfassenden Logtyp an, z. B. Pan Firewall, Cisco ASA. Firewalls usw.
  • Geben Sie den Collector-Typ an: Datei, Kafka, PCAP, Splunk, Syslog oder WebProxy.
  • Geben Sie Collector-Konfigurationswerte an.

Nachdem Sie einem Forwarder mindestens einen Collector hinzugefügt haben, können Sie den Forwarder-Konfiguration und stellen Sie sie auf einem Computer oder Gerät bereit, auf dem Google Security Operations Forwarder ist installiert.

So fügen Sie einem Forwarder einen neuen Collector hinzu:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder.
  3. Suchen Sie auf der Seite Forwarder nach der gewünschten Weiterleitung. Wenn die Liste der „Forwarders“ lang ist, verwenden Sie das Feld Suchen.
  4. Halten Sie den Zeiger über den Forwarder, für den Sie einen Collector hinzufügen möchten. Das Symbol zum Maximieren des Menüs wird angezeigt.
  5. Klicken Sie auf das Symbol zum Maximieren des Menüs .
  6. Wählen Sie Neuen Collector hinzufügen aus.
  7. Geben Sie im Feld Collector-Name einen Namen ein.

  8. Klicken Sie auf das Feld Logtyp, um eine Liste der Logtypen aufzurufen, und führen Sie einen der folgenden Schritte aus: Folgendes:

    • Wenn Sie den gewünschten Logtyp nicht sehen, beginnen Sie mit der Eingabe seines Namens in das Feld Feld, um weitere Vorschläge anzuzeigen. Eine vollständige Liste der unterstützten Logtypen Siehe Unterstützte Datensätze.
    • Wählen Sie einen Logtyp aus der Liste aus.

  9. Optional: Maximieren Sie den Bereich Konfigurationswerte und geben Sie beliebige Werte an. zu verwenden:

    • Asset-Namespace:Geben Sie einen Namespace ein, der die Logs identifiziert, die die von diesem Collector erfasst wurden. Wenn für einen Collector ein Namespace angegeben ist, Der Namespace des Collectors wird anstelle des Namespace des Forwarders für die Logs von diesem Collector. Weitere Informationen zu Asset-Namespaces Siehe Asset-Namespaces:
    • Labelschlüssel und Labelwert:Geben Sie einen Schlüssel und einen Wert ein. Bei Bedarf können Sie können Sie auch auf Weitere hinzufügen klicken, um ein oder mehrere zusätzliche Labels Schlüssel/Wert-Paare. Für die Logs dieses Collectors werden Labels durch diese Einstellung überschrieben die auf Weiterleitungsebene angegeben sind. Weitere Informationen finden Sie unter Labels:
    • Filterbeschreibung, Regulärer Ausdruck und Filterverhalten: Filter hinzufügen, die Logs basierend auf einem regulären Ausdruck filtern (RE2-Syntax) mit jeder eingehenden Zeile des Rohprotokolls übereinstimmt. Das Filterverhalten bestimmt, ob die eingehende Zeile bei einer Übereinstimmung mit allow oder block versehen wird. Standardmäßig, einschließlich beim Filterverhalten unspecified, wird der Parameter bei einer Übereinstimmung ist es, die eingehende Leitung zu block und dann fortzufahren der nächsten Zeile auf eine Übereinstimmung aus. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke:

  10. Optional: Maximieren Sie den Bereich Erweiterte Einstellungen und geben Sie eine der folgenden Optionen an: Folgendes:

    • Max. Sekunden pro Batch:Anzahl der Sekunden zwischen Batches. Der Standardwert ist 10.
    • Max. Byte pro Batch:Anzahl der Byte, die vor dem Forwarder in die Warteschlange gestellt wurden im Batch hochladen. Der Standardwert ist 1048576.

  11. Optional: Laufwerkzwischenspeicher:Stellen Sie die Ein/Aus-Schaltfläche auf Ein, um das Laufwerk zu aktivieren. der Zwischenspeicherung für den Collector. Weitere Informationen zur Zwischenspeicherung von Laufwerken Siehe Datenträgerzwischenspeicherung. Wenn diese Option aktiviert ist, können Sie die folgenden Einstellungen festlegen:

    • Verzeichnispfad: Der Verzeichnispfad für geschriebene Dateien.
    • Max file buffer bytes: Die maximale vom Collector verwendete Laufwerkgröße bevor zurückgestellte Nachrichten auf dem Laufwerk zwischengespeichert werden. Der Standardwert ist 1073741824. Das Maximum ist 4294967296.

  12. Klicken Sie auf das Feld Collector-Typ und wählen Sie einen Collector-Typ aus. Jedes hat eigene Einstellungen, die Sie konfigurieren können. Weitere Informationen Informationen zu den Collector-Typen und ihren Einstellungen finden Sie unter Einstellungen für den Collector-Typ

  13. Klicken Sie auf Senden.

Forwarder verwalten

Forwarder in einer Google Security Operations-Instanz auflisten

So listen Sie die Forwarder in einer Google Security Operations-Instanz auf:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
  3. Optional: Sortieren Sie die Liste, indem Sie auf die Spalte Name oder Zuletzt aktualisiert klicken.

Optional können Sie das Suchfeld verwenden, um die Ergebnisse in der Liste einzugrenzen.

Forwarder klonen

Durch Klonen können Sie eine Kopie von einer oder mehreren Forwarder-Konfigurationen erstellen.

So klonen Sie Forwarder:

  1. Klicken Sie auf der Seite „Forwarder“ das Kästchen für jeden Forwarder an, den Sie klonen möchten.

  2. Klicken Sie auf das Symbol zum Maximieren des Menüs .

  3. Wählen Sie Ausgewählte klonen aus.

  4. Klicken Sie auf Klonen. Eine Kopie jedes Forwarders wird hinzugefügt.

Forwarder-Konfiguration bearbeiten

So bearbeiten Sie eine Forwarder-Konfiguration:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.

  3. Halten Sie den Mauszeiger über den Forwarder, dessen Konfiguration Sie bearbeiten möchten. Das Symbol zum Maximieren des Menüs wird angezeigt.

  4. Klicken Sie auf das Symbol zum Maximieren des Menüs .

  5. Wählen Sie Weiterleitungskonfiguration bearbeiten aus.

  6. Nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Weitere Informationen finden Sie in den Konfigurationsschritten im Verfahren zum Hinzufügen von Forwardern.

  7. Klicken Sie auf Senden.

Forwarder löschen

So löschen Sie Forwarder:

  1. Klicken Sie auf der Seite „Forwarder“ das Kästchen für jeden Forwarder an, den Sie löschen möchten.

  2. Klicken Sie auf das Symbol zum Maximieren des Menüs .

  3. Wählen Sie Auswahl löschen aus.

  4. Klicken Sie auf Auswahl löschen.

Collectors verwalten

Collectors in einer Google Security Operations-Instanz auflisten

So listen Sie die Collectors in einer Google Security Operations-Instanz auf:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
  3. Klicken Sie auf den Erweiterungspfeil neben der Spaltenüberschrift Name. Dadurch werden alle Forwarder erweitert und für jeden Forwarder werden bis zu fünf Collectors angezeigt.
  4. Wenn ein Forwarder mehr als fünf Collectors hat, klicken Sie auf den Link Alle Collectors ansehen.

Collector-Konfiguration bearbeiten

So bearbeiten Sie eine Collector-Konfiguration:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.

  3. Klicken Sie auf den Erweiterungspfeil des Forwarders, für den Sie einen Collector bearbeiten möchten.

  4. Wenn es mehr als fünf Collectors gibt, klicken Sie auf den Link Alle Collectors ansehen.

  5. Halten Sie den Mauszeiger über den Collector, dessen Konfiguration Sie bearbeiten möchten. Der Link Bearbeiten wird angezeigt.

  6. Klicken Sie auf Bearbeiten.

  7. Nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Weitere Informationen finden Sie in den Konfigurationsschritten im Verfahren zum Hinzufügen von Collectors.

  8. Klicken Sie auf Senden.

Collector löschen

So löschen Sie einen Collector:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.

  3. Klicken Sie auf den Erweiterungspfeil des Forwarders, für den Sie einen Collector löschen möchten.

  4. Wenn es mehr als fünf Collectors gibt, klicken Sie auf den Link Alle Collectors ansehen.

  5. Halten Sie den Mauszeiger über den Collector, dessen Konfiguration Sie bearbeiten möchten. Der Link Löschen wird angezeigt.

  6. Klicken Sie auf den Link Löschen.

  7. Klicken Sie zur Bestätigung auf die Schaltfläche Löschen.

Konfigurationsdateien herunterladen

Zum Herunterladen eines Forwarders ist mindestens ein Collector erforderlich. Wenn Sie versuchen, einen Forwarder ohne Collector herunterzuladen, erhalten Sie eine Fehlermeldung.

Sie können die Forwarder-Konfigurationsdatei (.conf), die Authentifizierungsdatei (_auth.conf) oder beides für jeden in Ihrer Google Security Operations-Instanz aufgeführten Forwarder herunterladen, sofern diese mindestens einen Collector hat. Nachdem Sie die Dateien heruntergeladen haben, müssen Sie sie auf dem Windows- oder Linux-System bereitstellen, auf dem sich der Google Security Operations Forwarder befindet.

So laden Sie Forwarder-Konfigurationsdateien herunter:

  1. Klicken Sie in der Navigationsleiste auf Einstellungen.
  2. Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.

  3. Suchen Sie auf der Seite Forwarder nach der gewünschten Weiterleitung. Wenn die Liste der „Forwarders“ lang ist, verwenden Sie das Feld Suchen.

  4. Halten Sie den Mauszeiger über den Forwarder, für den Sie Konfigurationsdateien herunterladen möchten. Das Symbol zum Maximieren des Menüs wird angezeigt.

  5. Klicken Sie auf das Symbol zum Maximieren des Menüs .

  6. Wählen Sie Herunterladen aus.

  7. Führen Sie im Dialogfeld Weiterleitungskonfiguration herunterladen einen der folgenden Schritte aus:

    • Um die Forwarder-Konfigurationsdatei herunterzuladen, klicken Sie neben dem Dateityp .conf auf das Downloadsymbol.
    • Um die Datei für die Forwarder-Authentifizierung herunterzuladen, klicken Sie neben dem Dateityp _auth.conf auf das Downloadsymbol.
    • Wenn Sie beide Dateien herunterladen möchten, klicken Sie auf Alle herunterladen.

Informationen zu den Konfigurationseinstellungen

Forwarder-Konfigurationen enthalten einen oder mehrere Collectors.

Sie können die folgenden Einstellungen auf Weiterleitungsebene konfigurieren:

Sie können die folgenden Einstellungen auf Forwarder-Ebene und Collector-Ebene. Um das Ergebnis der Konfiguration dieser Einstellung finden Sie im Abschnitt zur jeweiligen Einstellung.

Sie können die folgenden Einstellungen auf Collector-Ebene konfigurieren:

Uploadkomprimierung

Standard: Aktiviert

Sie können die Uploadkomprimierung für einen Forwarder konfigurieren, aber nicht für einen Collector. Wenn diese Einstellung aktiviert ist, werden Protokolle komprimiert, bevor sie in Google Security Operations Dadurch wird der Verbrauch der Netzwerkbandbreite bei der Übertragung Google Security Operations Die Komprimierung kann jedoch zu einer erhöhten CPU-Auslastung führen.

Der Kompromiss zwischen Bandbreite und CPU-Nutzung hängt von vielen Faktoren ab, die Art der Logdaten, die Komprimierbarkeit dieser Daten, die Verfügbarkeit Zyklen auf dem Host, auf dem der Forwarder läuft, und die Notwendigkeit, Bandbreitenverbrauch. Zum Beispiel werden textbasierte Protokolle gut komprimiert und können bieten erhebliche Bandbreiteneinsparungen bei geringer CPU-Auslastung. Verschlüsselt Nutzlasten von Rohpaketen werden nicht gut komprimiert und verursachen eine höhere CPU-Auslastung.

Asset-Namespaces

Standard: Das Feld ist leer, wenn keine Angabe gemacht wird.

Sie können einen Asset-Namespace für einen Forwarder, einen Collector oder beides konfigurieren. Ich einen Namespace zur Identifizierung von Logs aus verschiedenen Netzwerksegmenten verwenden. Konflikte zwischen sich überschneidenden IP-Adressen zu beseitigen. Alle von Ihnen konfigurierten Namespaces werden mit den zugehörigen Assets auf der Google Security Operations-Benutzeroberfläche. Sie können auch nach für Namespaces mithilfe der Google Security Operations Search-Funktion.

Sie können einen Namespace für einen Forwarder und verschiedene Namespaces angeben für einen oder mehrere Collectors des Forwarders. Wenn ein Namespace für eine Collector wird der Namespace des Collectors anstelle des Forwarders Namespace für die Logs von diesem Collector.

Informationen zur Verwendung von Namespaces finden Sie unter Asset-Namespaces:

Labels

Standard: Die Felder sind leer, wenn keine Angabe erfolgt.

Sie können Labels für einen Forwarder, einen Collector oder beides konfigurieren. Labels werden verwendet , um beliebige Metadaten mithilfe von Schlüssel/Wert-Paaren an Logs anzuhängen. Labels können für einen gesamten Forwarder oder innerhalb eines bestimmten Collectors einer Forwarder. Wenn beide angegeben sind, werden die Labels mit den Schlüsseln des Collectors zusammengeführt. hat Vorrang vor den Forwarder-Tasten, wenn sich die Schlüssel überschneiden.

Filter für reguläre Ausdrücke

Standard: Die Felder sind leer, wenn keine Angabe erfolgt.

Sie können Filter für reguläre Ausdrücke für einen Forwarder, Collector oder beides. Mit Filtern für reguläre Ausdrücke können Sie eingehende Zeilen einer Rohdaten Protokoll, das mit dem Ausdruck übereinstimmt.

Die Filter verwenden die RE2-Syntax:

Die Filter müssen einen regulären Ausdruck enthalten und optional ein Verhalten definieren wenn es eine Übereinstimmung gibt. Das Standardverhalten bei einer Übereinstimmung ist „Sperren“. Sie können auch explizit als Block konfigurieren).

Alternativ können Sie Filter mit dem Verhalten allow angeben. Wenn Sie alle Zulassungsfilter blockiert, blockiert der Forwarder alle Logs, die nicht mit mindestens einem übereinstimmen Filter zulassen.

Es ist möglich, eine beliebige Anzahl von Filtern zu definieren. Blockfilter können Vorrang vor Zulassungsfiltern.

Wenn Sie Filter definieren, muss ihnen ein Name zugewiesen werden. Die Namen der aktiven -Filter werden mithilfe von Forwarder-Zustandsmesswerten an Google Security Operations gemeldet. Filter auf Forwarder-Ebene definiert sind, werden mit den auf dem Collector definierten Filtern zusammengeführt. Filter auf Collector-Ebene haben bei widersprüchlichen Namen Vorrang. Wenn sind keine Filter auf Forwarder- oder Collector-Ebene definiert, alles zuzulassen.

HTTP-Server-Einstellungen für Syslog-Erfassung

Der Google Security Operations Forwarder kann in einer Umgebung bereitgestellt werden, in der ein Layer-4-Load-Balancer wird zwischen Datenquelle und Forwarder installiert Instanzen. So können Sie die Logsammlung mehrere Forwarder erstellen oder die Protokolle an einen anderen Forwarder senden. Dieses wird nur mit dem Sammlungstyp „syslog“ unterstützt.

Der Forwarder umfasst einen integrierten HTTP-Server, der auf HTTP-Anfragen Systemdiagnosen vom Load-Balancer. Der HTTP-Server sorgt auch dafür, Beim Starten oder Herunterfahren eines Forwarders gehen keine Protokolle verloren.

Die Servereinstellungen in Forwarder-Konfigurationen unterstützen das Festlegen eines Zeitlimits Dauer und Statuscodes, die als Antwort auf Systemdiagnosen zurückgegeben werden, die in und orchestrierungsbasierte Bereitstellungen und von herkömmlichen Lastenausgleichsmodule.

Verwenden Sie die folgenden URL-Pfade für Zustands-, Bereitschafts- und Aktivitätsprüfungen. Die <host:port>-Werte sind in der Forwarder-Konfiguration definiert.

  • http://<host:port>/meta/available: Aktivitätsprüfungen für Container Planer/Orchestratoren wie Kubernetes.
  • http://<host:port>/meta/ready: Bereitschaftsprüfungen und herkömmliches Laden Systemdiagnosen des Load-Balancers.
Einstellung Beschreibung
Ordnungsgemäßes Zeitlimit Die Zeitspanne, in der neue Verbindungen noch akzeptiert werden, nachdem Redirecter gibt als Antwort auf eine Systemdiagnose einen ungelesenen Status zurück. Dies ist auch die Zeit, die zwischen dem Empfang eines Signals zum Anhalten und den Server selbst herunterfährt. Dadurch können die zum Entfernen des Forwarders aus dem Pool Zeit.

Gültige Werte sind in Sekunden angegeben. Wenn Sie beispielsweise 10 Sekunden angeben möchten, geben Sie 10. ein. Dezimalwerte sind nicht zulässig.

Standard:15 Sekunden
Zeitlimit für Drain Die Zeit, die der Forwarder auf aktive Verbindungen wartet, um von sich selbst schließen, bevor sie vom Server. Wenn Sie beispielsweise 5 Sekunden angeben möchten, geben Sie 5. ein. Dezimalwerte sind nicht zulässig.

Standard:10 Sekunden
Port Die Portnummer, die der HTTP-Server auf Systemdiagnosen überwacht über das Lastenausgleichsmodul. Der Wert muss zwischen 1.024 und 65.535 liegen.

Standard : 8080
IP-Adresse/Hostname Die IP-Adresse oder ein Hostname, der in eine IP-Adresse aufgelöst werden kann, die der Server überwachen soll.

Standard:0.0.0.0 (das lokale System)
Zeitlimit für Lesevorgänge Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden aus der Standardeinstellung. Die maximal zulässige Lesedauer der gesamten Anfrage, sowohl den Header als auch den Textkörper. Sie können sowohl Feld Lesezeitlimit und Lese-Header Zeitüberschreitung ein.

Standard:3 Sekunden
Zeitlimit für Leseheader Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden aus der Standardeinstellung. Die maximal zulässige Lesedauer Anfrageheadern. Das Zeitlimit für den Lesevorgang der Verbindung wird zurückgesetzt nach dem in der Kopfzeile lesen.

Standard:3 Sekunden
Zeitüberschreitung für Schreibvorgänge Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden aus der Standardeinstellung. Die maximal zulässige Sendezeit eine Antwort geben. Es wird zurückgesetzt, wenn ein neuer Anfrageheader gelesen wird.

Standard:3 Sekunden
Zeitüberschreitung bei Inaktivität Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden aus der Standardeinstellung. Die maximale Wartezeit auf den nächste Anfrage, wenn inaktive Verbindungen aktiviert sind. Wenn der inaktiven Zeitüberschreitung auf null gesetzt ist, wird der Wert des Feldes read Zeitüberschreitung verwendet wird. Wenn beide null sind, wird der Lesevorgang Header-Zeitlimit verwendet.

Standard:3 Sekunden
Statuscode für Verfügbarkeit Der Statuscode, den der Forwarder bei einer Aktivitätsprüfung zurückgibt empfangen und der Forwarder ist verfügbar. Containerplaner und wie Kubernetes, senden oft Aktivitätsprüfungen.

Standard:204
Bereit-Statuscode Der Statuscode, den der Forwarder zurückgibt, wenn er zur Annahme bereit ist Traffic in einer der folgenden Situationen:
  • Eine Bereitschaftsprüfung wird von einem Containerplaner oder wie Kubernetes.
  • Eine Systemdiagnose wird von einem herkömmlichen Load-Balancer empfangen.
Standard:204
Statuscode „Nicht bereit“ Der Statuscode, den der Forwarder zurückgibt, wenn er nicht akzeptiert werden kann Zugriffe.

Standard:503

Logtyp

Eine vollständige Liste der unterstützten Logtypen finden Sie unter Unterstützte Datensätze.

Zwischenspeichern des Laufwerks

Mit der Laufwerkszwischenspeicherung können Sie Backlog-Nachrichten auf dem Laufwerk zwischenspeichern, zu speichern. Die im Rückstand befindlichen Nachrichten können für den Fall gespeichert werden, dass der Forwarder abstürzt oder Abstürze des zugrunde liegenden Hosts. Das Aktivieren der Zwischenspeicherung des Laufwerks kann sich auf die Leistung.

Wenn die Laufwerkszwischenspeicherung deaktiviert ist, verwendet der Collector 1 GB Arbeitsspeicher (RAM) für den erfasst wird. Sie können das Maximum mithilfe der Option Max. (Dateizwischenspeicher) festlegen. Bytes in der Collector-Konfiguration festlegen. Damit wird der maximale RAM bestimmt vom Collector verwendete Größe, bevor zurückgestellte Nachrichten auf dem Laufwerk zwischengespeichert werden. Die der Standardwert ist 1073741824. Das Maximum ist 4.294.967.296.

Wenn Sie den Forwarder mit Docker ausführen, empfiehlt Google, eine vom Konfigurations-Volume getrennt. Außerdem Jede Eingabe sollte mit einem eigenen Verzeichnis oder Volume isoliert werden, um Konflikten.

Einstellungen für Collector-Typ

In jeder Collector-Konfiguration muss ein Collector-Typ angegeben werden. Dieser Abschnitt werden die Collector-Typen und ihre Einstellungen beschrieben.

Datei

Verwenden Sie den Collector-Typ file, um Logs aus einer einzelnen Logdatei hochzuladen.

Feld Pflichtfeld oder optionales Feld für diesen Typ Beschreibung
Dateipfad Erforderlich Verzeichnispfad und Dateiname. Beispiel:

/opt/chronicle/edr/output/sample.txt

Kafka

Verwenden Sie den Collector-Typ kafka, um Daten aus Kafka-Themen aufzunehmen. Kafka-Nutzer genutzt, damit Sie bis zu drei Google Security Operations Forwarder an Daten aus demselben Kafka-Thema abzurufen. Weitere Informationen finden Sie unter Kafka: Weitere Informationen zu Kafka-Nutzergruppen finden Sie unter Kafka-Nutzer.

Feld Erforderlich oder optional für diesen Typ Beschreibung
Nutzername Erforderlich Der Nutzername einer für die Authentifizierung verwendeten Identität.
Passwort Erforderlich Das mit dem Nutzernamen verknüpfte Kontopasswort.
Thema Erforderlich Das Kafka-Thema, aus dem Daten aufgenommen werden sollen.
Gruppen-ID Erforderlich Eine Gruppen-ID.
Zeitlimit Erforderlich Die maximale Anzahl von Sekunden, die ein Wählvorgang wartet, bis eine Verbindung hergestellt wird. abgeschlossen ist.

Standard : 60
Makler Optional Geben Sie einen Zwischenhändler in das Textfeld ein. Beispiel:

broker-1:9092


Klicken Sie auf Weiteren hinzufügen, um einen weiteren Broker hinzuzufügen.

Hinweis:Alle Werte werden während einer Aktualisierung ersetzt. . Um eine Liste mit Zwischenhändlern zu aktualisieren, Broker auf, geben Sie alle vorhandenen Broker und den neuen Broker an.
TLS-Zertifikat Erforderlich Der Pfad und der Name der Zertifikatdatei. Beispiel:

/path/to/cert.pem

TLS-Zertifikatschlüssel Erforderlich Der Pfad und der Dateiname des Zertifikatschlüssels. Beispiel:

/path/to/cert.key

Mindestversion für TLS Erforderlich Die Mindestversion für TLS.

Beispiel:TLSv1_3
Überspringen der TLS-Prüfung nicht sicher Erforderlich Aktiviert die SSL-Zertifizierungsüberprüfung.

Standard:deaktiviert

Pcap

In diesem Abschnitt werden die folgenden Themen behandelt:

pcap unter Windows verwenden

Der Google Security Operations-Forwarder kann Pakete direkt von einer Netzwerkschnittstelle erfassen mit Npcap auf Windows-Systemen.

Wenden Sie sich an den Google Security Operations-Support, um Ihre Konfigurationsdatei für die Google Security Operations-Weiterleitung zu aktualisieren um die Paketerfassung zu unterstützen.

Zum Ausführen eines PCAP-Forwarders (Packet Capture) benötigen Sie Folgendes:

  • Installieren Sie Npcap auf dem Microsoft Windows-Host.
  • Gewähren Sie Google Security Operations-Forwarder auf dem Windows-Host Stamm oder Administrator um die Netzwerkschnittstelle zu überwachen.
  • Befehlszeilenoptionen sind nicht erforderlich.
  • Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.
pcap unter Linux verwenden

Mit dem Collector-Typ pcap Pakete direkt aus einem Netzwerk erfassen mithilfe von libcap unter Linux. Weitere Informationen zu libcap finden Sie unter libcap – Linux-Manuelle Seite

Pakete werden erfasst und anstelle von Logeinträgen an Google Security Operations gesendet. Paket Datenaufnahme nur über eine lokale Schnittstelle verarbeitet.

Google Security Operations konfiguriert den Google Security Operations-Forwarder mit dem Berkeley Packet Filter (BPF) Ausdruck, der beim Erfassen von Paketen verwendet wird (z. B. Port 53 und nicht localhost). Weitere Informationen finden Sie unter Berkeley-Paketfilter.

Collector-Einstellungen für Pcap

Für Linux und Windows gelten dieselben Collector-Konfigurationseinstellungen. Host.

Feld Erforderlich oder optional für diesen Typ Beschreibung
Netzwerkschnittstelle Erforderlich Die Schnittstelle, auf die PCAP-Daten überwacht werden sollen.

Hinweis: Bei einem Windows-Host ist dies die GUID für die zum Erfassen von Paketen verwendete Schnittstelle. Führen Sie folgenden Befehl aus, um diesen Wert abzurufen: getmac.exe auf dem Computer, auf dem Google Security Operations Forwarder installiert ist installiert ist (entweder der Server oder die Maschine, die den Span überwacht Anschluss). Die Ausgabe von getmac.exe beginnt mit \Device\Tcpip_. Ersetzen Sie dies durch „\Device\NPF_“.

Beispiel:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Berkeley-Paketfilter Erforderlich Der Berkeley Packet Filter (BPF) für Pcap.

Beispiel:udp port 53

Splunk

Verwenden Sie den Collector-Typ splunk, um Splunk-Daten zu erfassen.

Feld Erforderlich oder optional für diesen Typ Beschreibung
Nutzername Erforderlich Der Nutzername einer für die Authentifizierung verwendeten Identität.
Passwort Erforderlich Das Passwort des durch den Nutzernamen identifizierten Kontos.
Host Erforderlich Der Host oder die IP-Adresse für die Splunk REST API.

Beispiel:https://10.0.113.15
Port Erforderlich Der Port der Splunk REST API.
Mindestfenstergröße Erforderlich Der Mindestzeitraum in Sekunden, der an die Splunk-Abfrage übergeben wird. Dieses wird zur Abstimmung verwendet, wenn die Anforderung geändert werden soll, wie Häufig wird der Splunk-Server abgefragt, wenn sich der Forwarder befindet konstant. Bei einer Verzögerung kann der Splunk API-Aufruf auch mehrere Male durchgeführt.

Standard:10
Maximale Fenstergröße Erforderlich Der maximale Zeitraum in Sekunden, der an die Splunk-Abfrage übergeben wird. Dieses wird für die Feinabstimmung verwendet, wenn es zu einer Verzögerung kommt Daten sind pro Abfrage erforderlich.

Ändern Sie diesen Parameter (gleich oder größer als), wenn Sie den Parameter Minimum. Verzögerungen können auftreten, wenn ein Splunk-Abfrageaufruf die länger als die maximale Fenstergröße dauert.

Hinweis : Die Zeiträume überschneiden sich nie, wenn der Splunk Server abgefragt wird. Der abgefragte Zeitraum liegt immer zwischen die Parameter für das minimale und maximale Zeitfenster.

Standard:30
Abfragestring Erforderlich Die Abfrage, die zum Filtern von Datensätzen in Splunk verwendet wird.

Beispiel:search index=* sourcetype=dns
Abfragemodus Erforderlich Der Abfragemodus für Splunk.

Beispiel:realtime
Zertifikat ignoriert Optional Wenn diese Option aktiviert ist, wird das Zertifikat ignoriert.

Standard:deaktiviert

Syslog

Verwenden Sie den Collector-Typ syslog, um Syslog-Daten zu erfassen. Sie können beliebige Appliance oder Server, der das Senden von Syslog-Daten über TCP oder UDP unterstützt Verbindung, um Daten an Google Security Operations Forwarder weiterzuleiten. Sie können die genauen Daten, die die Appliance oder der Server an Google Security Operations Forwarder sendet Google Security Operations-Forwarder die Daten dann an Google Security Operations weiterleiten können.

Feld Erforderlich oder optional für diesen Typ Beschreibung
Protokoll Erforderlich Das Verbindungsprotokoll, das der Collector zum Überwachen von Syslog-Daten verwendet. Gültige Werte sind:

  • TCP
  • UDP
Adresse Erforderlich Die Ziel-IP-Adresse oder der Hostname, in der sich der Collector befindet, und auf Syslog-Daten wartet.
Port Erforderlich Der Zielport, an dem sich der Collector befindet und auf Syslog wartet Daten.
Puffergröße Erforderlich Die Größe des Socket-Zwischenspeichers in Byte.

Der Standardwert für TCP ist 65536.
Der Standardwert für UDP ist 8192.
Zeitüberschreitung der Verbindung Erforderlich Die Anzahl der Sekunden der Inaktivität, nach denen die TCP-Verbindung hergestellt wird. wurde verworfen.

Standard:60
TLS-Zertifikat Erforderlich Der Pfad und der Name der Zertifikatdatei. Beispiel:

/path/to/cert.pem

TLS-Zertifikatschlüssel Erforderlich Der Pfad und der Dateiname des Zertifikatschlüssels. Beispiel:

/path/to/cert.key

Mindestversion für TLS Erforderlich Die Mindestversion für TLS.

Beispiel:TLSv1_3
Überspringen der TLS-Prüfung nicht sicher Erforderlich Aktiviert die SSL-Zertifizierungsüberprüfung.

Standard:deaktiviert

WebProxy

Zusätzlich zur Angabe der Feldwerte für Google SecOps Forwarder unter Windows installieren Sie die Npcap-Bibliothek auf dem Windows-Computer oder -Gerät. Dies ist für Google SecOps Forwarder auf Linux-Systemen nicht erforderlich.

Feld Erforderlich oder optional für diesen Typ Beschreibung
Netzwerkschnittstelle Erforderlich Die Schnittstelle, die auf Web-Proxy-Daten überwacht wird.
Berkeley-Paketfilter Erforderlich Der Berkeley Packet Filter (BPF) für den Web-Proxy.

Beispiel:udp port 53

Fehlerbehebung

Die Syslog-Daten werden vom Forwarder nicht empfangen

Achten Sie darauf, dass die Syslog-Einstellungen des Collectors so konfiguriert sind, dass das richtige Verbindungsprotokoll (TCP oder UDP) für die eingehenden Daten verwendet wird. Weitere Informationen finden Sie unter Collector bearbeiten.