Forwarder-Konfigurationen über die Google Security Operations-UI verwalten
Auf dieser Seite wird beschrieben, wie Sie Forwarder-Konfigurationen erstellen, verwalten und herunterladen über die Benutzeroberfläche von Google Security Operations. Sie können diese Aufgaben auch programmatisch ausführen, indem Sie die Forwarder Management API.
Namenskonventionen
In diesem Dokument werden die folgenden Namenskonventionen verwendet:
- Google Security Operations Forwarder: Die bereitgestellte Softwarekomponente.
- forwarder: Der Kurzname für eine Forwarder-Konfiguration, wenn sie in Ihrer Google Security Operations-Instanz gespeichert wird.
- collector: Der Kurzname für eine Collector-Konfiguration, wenn sie in Ihrer Google Security Operations-Instanz gespeichert wird.
Forwarder hinzufügen
Das Hinzufügen eines Forwarders ist der erste Schritt bei der Konfiguration eines Google Security Operations Forwarder. Wenn Sie eine Weiterleitung hinzufügen, haben Sie folgende Möglichkeiten:
- Benennen Sie eine Forwarder-Konfiguration.
- Geben Sie Werte für die Weiterleitungskonfiguration an.
Durch das Hinzufügen eines neuen Forwarders wird eine teilweise vollständige Forwarder-Konfiguration erstellt. Bis die Forwarder-Konfiguration abschließen, Collector hinzufügen Nachdem Sie mindestens einen Collector hinzugefügt haben, können Sie den Forwarder herunterladen konfigurieren und auf einem Computer oder Gerät bereitstellen, auf dem sich Google Security Operations Forwarder befindet installiert haben.
Anstatt eine neue Weiterleitung zu hinzufügen, können Sie eine oder mehrere vorhandene klonen. Forwardern. Weitere Informationen finden Sie unter Forwarder klonen:
So fügen Sie einen neuen Forwarder hinzu:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder.
- Klicken Sie auf Neuen Forwarder hinzufügen.
- Geben Sie im Feld Forwarder name einen Namen ein.
Optional: Maximieren Sie den Bereich Konfigurationswerte und legen Sie eine der folgenden Optionen fest:
- Upload-Komprimierung:Wählen Sie Ja aus, um Protokolldaten vor der Aufnahme zu komprimieren. in Google Security Operations hochgeladen. Der Standardwert ist Nein. Weitere Informationen zu Daten Komprimierung finden Sie unter Uploadkomprimierung:
- Asset-Namespace:Geben Sie einen Namespace ein, der die Logs identifiziert, die die von diesem Forwarder erfasst wurden. Dieser Namespace wird auf alle Collectors angewendet, die diesem Forwarder hinzugefügt werden, sofern Sie keinen Namespace für einen Collector auf Collector-Ebene angeben. Wenn Sie einen Namespace sowohl auf der Forwarder-Ebene als auch auf der Collector-Ebene angeben, wird für die Logs aus diesem Collector der Namespace des Collectors anstelle des Namespace des Forwarders verwendet. Weitere Informationen zu Asset-Namespaces finden Sie unter Asset-Namespaces.
- Labelschlüssel und Labelwert:Geben Sie einen Schlüssel und einen Wert ein. Bei Bedarf können Sie können Sie auch auf Neues Label hinzufügen klicken, um ein oder mehrere zusätzliche Labels Schlüssel/Wert-Paare. Dies ist eine globale Einstellung, die für den Forwarder und Die Collectors des Forwarders, es sei denn, dies wird auf Collector-Ebene überschrieben. Weitere Informationen finden Sie unter Labels:
- Filterbeschreibung, Regulärer Ausdruck und Filterverhalten:
Filter hinzufügen, die Logs basierend auf einem regulären Ausdruck filtern
(RE2-Syntax) wird mit jeder eingehenden Zeile des Rohprotokolls abgeglichen. Das Filterverhalten bestimmt, ob die eingehende Zeile nach einer Übereinstimmung mit
allow
oderblock
versehen wird. Standardmäßig, einschließlich beim Filterverhaltenunspecified
, wird der Parameter bei einer Übereinstimmung ist es, die eingehende Leitung zublock
und dann fortzufahren der nächsten Zeile auf eine Übereinstimmung aus. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke:
(Nur Syslog-Erfassung) Optional: Aktivieren Sie die Option Servereinstellungen auf integrierten HTTP-Server des Forwarders konfigurieren, mit dem Load-Balancing- und Hochverfügbarkeitsoptionen für Syslog konfigurieren unter Linux. Weitere Informationen zu diesen Einstellungen finden Sie unter HTTP-Servereinstellungen für Syslog-Erfassung
Klicken Sie auf Senden.
Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
Geben Sie im Feld Collector-Name einen Namen ein.
Klicken Sie auf das Feld Logtyp, um eine Liste der Logtypen aufzurufen, und führen Sie einen der folgenden Schritte aus: Folgendes:
- Wenn Sie den gewünschten Logtyp nicht sehen, beginnen Sie mit der Eingabe seines Namens in das Feld Feld, um weitere Vorschläge anzuzeigen. Eine vollständige Liste der unterstützten Logtypen Siehe Unterstützte Datensätze.
- Wählen Sie einen Logtyp aus der Liste aus.
Optional: Maximieren Sie den Bereich Konfigurationswerte und geben Sie beliebige Werte an. zu verwenden:
- Asset-Namespace:Geben Sie einen Namespace ein, der die Logs identifiziert, die die von diesem Collector erfasst wurden. Wenn für einen Collector ein Namespace angegeben ist, Der Namespace des Collectors wird anstelle des Namespace des Forwarders für die Logs von diesem Collector. Weitere Informationen zu Asset-Namespaces Siehe Asset-Namespaces:
- Labelschlüssel und Labelwert:Geben Sie einen Schlüssel und einen Wert ein. Bei Bedarf können Sie können Sie auch auf Weitere hinzufügen klicken, um ein oder mehrere zusätzliche Labels Schlüssel/Wert-Paare. Für die Logs dieses Collectors werden Labels durch diese Einstellung überschrieben die auf Weiterleitungsebene angegeben sind. Weitere Informationen finden Sie unter Labels:
- Filterbeschreibung, Regulärer Ausdruck und Filterverhalten:
Filter hinzufügen, die Logs basierend auf einem regulären Ausdruck filtern
(RE2-Syntax)
mit jeder eingehenden Zeile des Rohprotokolls übereinstimmt. Das Filterverhalten bestimmt, ob die eingehende Zeile bei einer Übereinstimmung mit
allow
oderblock
versehen wird. Standardmäßig, einschließlich beim Filterverhaltenunspecified
, wird der Parameter bei einer Übereinstimmung ist es, die eingehende Leitung zublock
und dann fortzufahren der nächsten Zeile auf eine Übereinstimmung aus. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke:
Optional: Maximieren Sie den Bereich Erweiterte Einstellungen und geben Sie eine der folgenden Optionen an: Folgendes:
- Max. Sekunden pro Batch:Anzahl der Sekunden zwischen Batches. Der Standardwert ist
10
. - Max. Byte pro Batch:Anzahl der Byte, die vor dem Forwarder in die Warteschlange gestellt wurden
im Batch hochladen. Der Standardwert ist
1048576
.
- Max. Sekunden pro Batch:Anzahl der Sekunden zwischen Batches. Der Standardwert ist
Optional: Laufwerkzwischenspeicher:Stellen Sie die Ein/Aus-Schaltfläche auf Ein, um das Laufwerk zu aktivieren. der Zwischenspeicherung für den Collector. Weitere Informationen zur Zwischenspeicherung von Laufwerken Siehe Datenträgerzwischenspeicherung. Wenn diese Option aktiviert ist, können Sie die folgenden Einstellungen festlegen:
- Verzeichnispfad: Der Verzeichnispfad für geschriebene Dateien.
- Max file buffer bytes: Die maximale vom Collector verwendete Laufwerkgröße
bevor zurückgestellte Nachrichten
auf dem Laufwerk zwischengespeichert werden. Der Standardwert ist
1073741824
. Das Maximum ist4294967296
.
Klicken Sie auf das Feld Collector-Typ und wählen Sie einen Collector-Typ aus. Jedes hat eigene Einstellungen, die Sie konfigurieren können. Weitere Informationen Informationen zu den Collector-Typen und ihren Einstellungen finden Sie unter Einstellungen für den Collector-Typ
Klicken Sie auf Senden.
Collectors hinzufügen
Sie können einem vorhandenen Forwarder einen oder mehrere Collectors hinzufügen.
Durch das Hinzufügen eines Collectors können Sie Folgendes tun:
- Benennen Sie den Collector.
- Geben Sie den zu erfassenden Logtyp an, z. B. Pan Firewall, Cisco ASA. Firewalls usw.
- Geben Sie den Collector-Typ an: Datei, Kafka, PCAP, Splunk, Syslog oder WebProxy.
- Geben Sie Collector-Konfigurationswerte an.
Nachdem Sie einem Forwarder mindestens einen Collector hinzugefügt haben, können Sie den Forwarder-Konfiguration und stellen Sie sie auf einem Computer oder Gerät bereit, auf dem Google Security Operations Forwarder ist installiert.
So fügen Sie einem Forwarder einen neuen Collector hinzu:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder.
- Suchen Sie auf der Seite Forwarder nach der gewünschten Weiterleitung. Wenn die Liste der „Forwarders“ lang ist, verwenden Sie das Feld Suchen.
- Halten Sie den Zeiger über den Forwarder, für den Sie einen Collector hinzufügen möchten. Das Symbol zum Maximieren des Menüs wird angezeigt.
- Klicken Sie auf das Symbol zum Maximieren des Menüs .
- Wählen Sie Neuen Collector hinzufügen aus.
- Geben Sie im Feld Collector-Name einen Namen ein.
Klicken Sie auf das Feld Logtyp, um eine Liste der Logtypen aufzurufen, und führen Sie einen der folgenden Schritte aus: Folgendes:
- Wenn Sie den gewünschten Logtyp nicht sehen, beginnen Sie mit der Eingabe seines Namens in das Feld Feld, um weitere Vorschläge anzuzeigen. Eine vollständige Liste der unterstützten Logtypen Siehe Unterstützte Datensätze.
- Wählen Sie einen Logtyp aus der Liste aus.
Optional: Maximieren Sie den Bereich Konfigurationswerte und geben Sie beliebige Werte an. zu verwenden:
- Asset-Namespace:Geben Sie einen Namespace ein, der die Logs identifiziert, die die von diesem Collector erfasst wurden. Wenn für einen Collector ein Namespace angegeben ist, Der Namespace des Collectors wird anstelle des Namespace des Forwarders für die Logs von diesem Collector. Weitere Informationen zu Asset-Namespaces Siehe Asset-Namespaces:
- Labelschlüssel und Labelwert:Geben Sie einen Schlüssel und einen Wert ein. Bei Bedarf können Sie können Sie auch auf Weitere hinzufügen klicken, um ein oder mehrere zusätzliche Labels Schlüssel/Wert-Paare. Für die Logs dieses Collectors werden Labels durch diese Einstellung überschrieben die auf Weiterleitungsebene angegeben sind. Weitere Informationen finden Sie unter Labels:
- Filterbeschreibung, Regulärer Ausdruck und Filterverhalten:
Filter hinzufügen, die Logs basierend auf einem regulären Ausdruck filtern
(RE2-Syntax)
mit jeder eingehenden Zeile des Rohprotokolls übereinstimmt. Das Filterverhalten bestimmt, ob die eingehende Zeile bei einer Übereinstimmung mit
allow
oderblock
versehen wird. Standardmäßig, einschließlich beim Filterverhaltenunspecified
, wird der Parameter bei einer Übereinstimmung ist es, die eingehende Leitung zublock
und dann fortzufahren der nächsten Zeile auf eine Übereinstimmung aus. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke:
Optional: Maximieren Sie den Bereich Erweiterte Einstellungen und geben Sie eine der folgenden Optionen an: Folgendes:
- Max. Sekunden pro Batch:Anzahl der Sekunden zwischen Batches. Der Standardwert ist
10
. - Max. Byte pro Batch:Anzahl der Byte, die vor dem Forwarder in die Warteschlange gestellt wurden
im Batch hochladen. Der Standardwert ist
1048576
.
- Max. Sekunden pro Batch:Anzahl der Sekunden zwischen Batches. Der Standardwert ist
Optional: Laufwerkzwischenspeicher:Stellen Sie die Ein/Aus-Schaltfläche auf Ein, um das Laufwerk zu aktivieren. der Zwischenspeicherung für den Collector. Weitere Informationen zur Zwischenspeicherung von Laufwerken Siehe Datenträgerzwischenspeicherung. Wenn diese Option aktiviert ist, können Sie die folgenden Einstellungen festlegen:
- Verzeichnispfad: Der Verzeichnispfad für geschriebene Dateien.
- Max file buffer bytes: Die maximale vom Collector verwendete Laufwerkgröße
bevor zurückgestellte Nachrichten
auf dem Laufwerk zwischengespeichert werden. Der Standardwert ist
1073741824
. Das Maximum ist4294967296
.
Klicken Sie auf das Feld Collector-Typ und wählen Sie einen Collector-Typ aus. Jedes hat eigene Einstellungen, die Sie konfigurieren können. Weitere Informationen Informationen zu den Collector-Typen und ihren Einstellungen finden Sie unter Einstellungen für den Collector-Typ
Klicken Sie auf Senden.
Forwarder verwalten
Forwarder in einer Google Security Operations-Instanz auflisten
So listen Sie die Forwarder in einer Google Security Operations-Instanz auf:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
- Optional: Sortieren Sie die Liste, indem Sie auf die Spalte Name oder Zuletzt aktualisiert klicken.
Optional können Sie das Suchfeld verwenden, um die Ergebnisse in der Liste einzugrenzen.
Forwarder klonen
Durch Klonen können Sie eine Kopie von einer oder mehreren Forwarder-Konfigurationen erstellen.
So klonen Sie Forwarder:
Klicken Sie auf der Seite „Forwarder“ das Kästchen für jeden Forwarder an, den Sie klonen möchten.
Klicken Sie auf das Symbol zum Maximieren des Menüs
.Wählen Sie Ausgewählte klonen aus.
Klicken Sie auf Klonen. Eine Kopie jedes Forwarders wird hinzugefügt.
Forwarder-Konfiguration bearbeiten
So bearbeiten Sie eine Forwarder-Konfiguration:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
Halten Sie den Mauszeiger über den Forwarder, dessen Konfiguration Sie bearbeiten möchten. Das Symbol zum Maximieren des Menüs
wird angezeigt.Klicken Sie auf das Symbol zum Maximieren des Menüs
.Wählen Sie Weiterleitungskonfiguration bearbeiten aus.
Nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Weitere Informationen finden Sie in den Konfigurationsschritten im Verfahren zum Hinzufügen von Forwardern.
Klicken Sie auf Senden.
Forwarder löschen
So löschen Sie Forwarder:
Klicken Sie auf der Seite „Forwarder“ das Kästchen für jeden Forwarder an, den Sie löschen möchten.
Klicken Sie auf das Symbol zum Maximieren des Menüs
.Wählen Sie Auswahl löschen aus.
Klicken Sie auf Auswahl löschen.
Collectors verwalten
Collectors in einer Google Security Operations-Instanz auflisten
So listen Sie die Collectors in einer Google Security Operations-Instanz auf:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
- Klicken Sie auf den Erweiterungspfeil neben der Spaltenüberschrift Name. Dadurch werden alle Forwarder erweitert und für jeden Forwarder werden bis zu fünf Collectors angezeigt.
- Wenn ein Forwarder mehr als fünf Collectors hat, klicken Sie auf den Link Alle Collectors ansehen.
Collector-Konfiguration bearbeiten
So bearbeiten Sie eine Collector-Konfiguration:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
Klicken Sie auf den
Erweiterungspfeil des Forwarders, für den Sie einen Collector bearbeiten möchten.Wenn es mehr als fünf Collectors gibt, klicken Sie auf den Link Alle Collectors ansehen.
Halten Sie den Mauszeiger über den Collector, dessen Konfiguration Sie bearbeiten möchten. Der Link Bearbeiten wird angezeigt.
Klicken Sie auf Bearbeiten.
Nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Weitere Informationen finden Sie in den Konfigurationsschritten im Verfahren zum Hinzufügen von Collectors.
Klicken Sie auf Senden.
Collector löschen
So löschen Sie einen Collector:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
Klicken Sie auf den
Erweiterungspfeil des Forwarders, für den Sie einen Collector löschen möchten.Wenn es mehr als fünf Collectors gibt, klicken Sie auf den Link Alle Collectors ansehen.
Halten Sie den Mauszeiger über den Collector, dessen Konfiguration Sie bearbeiten möchten. Der Link Löschen wird angezeigt.
Klicken Sie auf den Link Löschen.
Klicken Sie zur Bestätigung auf die Schaltfläche Löschen.
Konfigurationsdateien herunterladen
Zum Herunterladen eines Forwarders ist mindestens ein Collector erforderlich. Wenn Sie versuchen, einen Forwarder ohne Collector herunterzuladen, erhalten Sie eine Fehlermeldung.
Sie können die Forwarder-Konfigurationsdatei (.conf
), die Authentifizierungsdatei (_auth.conf
) oder beides für jeden in Ihrer Google Security Operations-Instanz aufgeführten Forwarder herunterladen, sofern diese mindestens einen Collector hat. Nachdem Sie die Dateien heruntergeladen haben, müssen Sie sie auf dem Windows- oder Linux-System bereitstellen, auf dem sich der Google Security Operations Forwarder befindet.
So laden Sie Forwarder-Konfigurationsdateien herunter:
- Klicken Sie in der Navigationsleiste auf Einstellungen.
- Klicken Sie unter „Einstellungen“ auf Forwarder. Auf der Seite wird die Liste der Forwarder angezeigt.
Suchen Sie auf der Seite Forwarder nach der gewünschten Weiterleitung. Wenn die Liste der „Forwarders“ lang ist, verwenden Sie das Feld Suchen.
Halten Sie den Mauszeiger über den Forwarder, für den Sie Konfigurationsdateien herunterladen möchten. Das Symbol zum Maximieren des Menüs
wird angezeigt.Klicken Sie auf das Symbol zum Maximieren des Menüs
.Wählen Sie Herunterladen aus.
Führen Sie im Dialogfeld Weiterleitungskonfiguration herunterladen einen der folgenden Schritte aus:
- Um die Forwarder-Konfigurationsdatei herunterzuladen, klicken Sie neben dem Dateityp
.conf
auf das Downloadsymbol. - Um die Datei für die Forwarder-Authentifizierung herunterzuladen, klicken Sie neben dem Dateityp
_auth.conf
auf das Downloadsymbol. - Wenn Sie beide Dateien herunterladen möchten, klicken Sie auf Alle herunterladen.
- Um die Forwarder-Konfigurationsdatei herunterzuladen, klicken Sie neben dem Dateityp
Informationen zu den Konfigurationseinstellungen
Forwarder-Konfigurationen enthalten einen oder mehrere Collectors.
Sie können die folgenden Einstellungen auf Weiterleitungsebene konfigurieren:
Sie können die folgenden Einstellungen auf Forwarder-Ebene und Collector-Ebene. Um das Ergebnis der Konfiguration dieser Einstellung finden Sie im Abschnitt zur jeweiligen Einstellung.
Sie können die folgenden Einstellungen auf Collector-Ebene konfigurieren:
Uploadkomprimierung
Standard: Aktiviert
Sie können die Uploadkomprimierung für einen Forwarder konfigurieren, aber nicht für einen Collector. Wenn diese Einstellung aktiviert ist, werden Protokolle komprimiert, bevor sie in Google Security Operations Dadurch wird der Verbrauch der Netzwerkbandbreite bei der Übertragung Google Security Operations Die Komprimierung kann jedoch zu einer erhöhten CPU-Auslastung führen.
Der Kompromiss zwischen Bandbreite und CPU-Nutzung hängt von vielen Faktoren ab, die Art der Logdaten, die Komprimierbarkeit dieser Daten, die Verfügbarkeit Zyklen auf dem Host, auf dem der Forwarder läuft, und die Notwendigkeit, Bandbreitenverbrauch. Zum Beispiel werden textbasierte Protokolle gut komprimiert und können bieten erhebliche Bandbreiteneinsparungen bei geringer CPU-Auslastung. Verschlüsselt Nutzlasten von Rohpaketen werden nicht gut komprimiert und verursachen eine höhere CPU-Auslastung.
Asset-Namespaces
Standard: Das Feld ist leer, wenn keine Angabe gemacht wird.
Sie können einen Asset-Namespace für einen Forwarder, einen Collector oder beides konfigurieren. Ich einen Namespace zur Identifizierung von Logs aus verschiedenen Netzwerksegmenten verwenden. Konflikte zwischen sich überschneidenden IP-Adressen zu beseitigen. Alle von Ihnen konfigurierten Namespaces werden mit den zugehörigen Assets auf der Google Security Operations-Benutzeroberfläche. Sie können auch nach für Namespaces mithilfe der Google Security Operations Search-Funktion.
Sie können einen Namespace für einen Forwarder und verschiedene Namespaces angeben für einen oder mehrere Collectors des Forwarders. Wenn ein Namespace für eine Collector wird der Namespace des Collectors anstelle des Forwarders Namespace für die Logs von diesem Collector.
Informationen zur Verwendung von Namespaces finden Sie unter Asset-Namespaces:
Labels
Standard: Die Felder sind leer, wenn keine Angabe erfolgt.
Sie können Labels für einen Forwarder, einen Collector oder beides konfigurieren. Labels werden verwendet , um beliebige Metadaten mithilfe von Schlüssel/Wert-Paaren an Logs anzuhängen. Labels können für einen gesamten Forwarder oder innerhalb eines bestimmten Collectors einer Forwarder. Wenn beide angegeben sind, werden die Labels mit den Schlüsseln des Collectors zusammengeführt. hat Vorrang vor den Forwarder-Tasten, wenn sich die Schlüssel überschneiden.
Filter für reguläre Ausdrücke
Standard: Die Felder sind leer, wenn keine Angabe erfolgt.
Sie können Filter für reguläre Ausdrücke für einen Forwarder, Collector oder beides. Mit Filtern für reguläre Ausdrücke können Sie eingehende Zeilen einer Rohdaten Protokoll, das mit dem Ausdruck übereinstimmt.
Die Filter verwenden die RE2-Syntax:
Die Filter müssen einen regulären Ausdruck enthalten und optional ein Verhalten definieren wenn es eine Übereinstimmung gibt. Das Standardverhalten bei einer Übereinstimmung ist „Sperren“. Sie können auch explizit als Block konfigurieren).
Alternativ können Sie Filter mit dem Verhalten allow angeben. Wenn Sie alle Zulassungsfilter blockiert, blockiert der Forwarder alle Logs, die nicht mit mindestens einem übereinstimmen Filter zulassen.
Es ist möglich, eine beliebige Anzahl von Filtern zu definieren. Blockfilter können Vorrang vor Zulassungsfiltern.
Wenn Sie Filter definieren, muss ihnen ein Name zugewiesen werden. Die Namen der aktiven -Filter werden mithilfe von Forwarder-Zustandsmesswerten an Google Security Operations gemeldet. Filter auf Forwarder-Ebene definiert sind, werden mit den auf dem Collector definierten Filtern zusammengeführt. Filter auf Collector-Ebene haben bei widersprüchlichen Namen Vorrang. Wenn sind keine Filter auf Forwarder- oder Collector-Ebene definiert, alles zuzulassen.
HTTP-Server-Einstellungen für Syslog-Erfassung
Der Google Security Operations Forwarder kann in einer Umgebung bereitgestellt werden, in der ein Layer-4-Load-Balancer wird zwischen Datenquelle und Forwarder installiert Instanzen. So können Sie die Logsammlung mehrere Forwarder erstellen oder die Protokolle an einen anderen Forwarder senden. Dieses wird nur mit dem Sammlungstyp „syslog“ unterstützt.
Der Forwarder umfasst einen integrierten HTTP-Server, der auf HTTP-Anfragen Systemdiagnosen vom Load-Balancer. Der HTTP-Server sorgt auch dafür, Beim Starten oder Herunterfahren eines Forwarders gehen keine Protokolle verloren.
Die Servereinstellungen in Forwarder-Konfigurationen unterstützen das Festlegen eines Zeitlimits Dauer und Statuscodes, die als Antwort auf Systemdiagnosen zurückgegeben werden, die in und orchestrierungsbasierte Bereitstellungen und von herkömmlichen Lastenausgleichsmodule.
Verwenden Sie die folgenden URL-Pfade für Zustands-, Bereitschafts- und Aktivitätsprüfungen. Die
<host:port>
-Werte sind in der Forwarder-Konfiguration definiert.
- http://
<host:port>
/meta/available: Aktivitätsprüfungen für Container Planer/Orchestratoren wie Kubernetes. - http://
<host:port>
/meta/ready: Bereitschaftsprüfungen und herkömmliches Laden Systemdiagnosen des Load-Balancers.
Einstellung | Beschreibung |
---|---|
Ordnungsgemäßes Zeitlimit | Die Zeitspanne, in der neue Verbindungen noch akzeptiert werden, nachdem
Redirecter gibt als Antwort auf eine Systemdiagnose einen ungelesenen Status zurück.
Dies ist auch die Zeit, die zwischen dem Empfang eines Signals zum Anhalten und
den Server selbst herunterfährt. Dadurch können die
zum Entfernen des Forwarders aus dem Pool Zeit. Gültige Werte sind in Sekunden angegeben. Wenn Sie beispielsweise 10 Sekunden angeben möchten, geben Sie 10. ein.
Dezimalwerte sind nicht zulässig.Standard:15 Sekunden |
Zeitlimit für Drain | Die Zeit, die der Forwarder auf aktive Verbindungen wartet, um
von sich selbst schließen, bevor sie vom
Server. Wenn Sie beispielsweise 5 Sekunden angeben möchten, geben Sie 5. ein.
Dezimalwerte sind nicht zulässig.Standard:10 Sekunden |
Port | Die Portnummer, die der HTTP-Server auf Systemdiagnosen überwacht
über das Lastenausgleichsmodul. Der Wert muss zwischen 1.024 und 65.535 liegen. Standard : 8080 |
IP-Adresse/Hostname | Die IP-Adresse oder ein Hostname, der in eine IP-Adresse aufgelöst werden kann,
die der Server überwachen soll. Standard:0.0.0.0 (das lokale System) |
Zeitlimit für Lesevorgänge | Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden
aus der Standardeinstellung. Die maximal zulässige Lesedauer
der gesamten Anfrage, sowohl den Header als auch den Textkörper. Sie können sowohl
Feld Lesezeitlimit und Lese-Header
Zeitüberschreitung ein. Standard:3 Sekunden |
Zeitlimit für Leseheader | Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden
aus der Standardeinstellung. Die maximal zulässige Lesedauer
Anfrageheadern. Das Zeitlimit für den Lesevorgang der Verbindung wird zurückgesetzt nach dem
in der Kopfzeile lesen. Standard:3 Sekunden |
Zeitüberschreitung für Schreibvorgänge | Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden
aus der Standardeinstellung. Die maximal zulässige Sendezeit
eine Antwort geben. Es wird zurückgesetzt, wenn ein neuer Anfrageheader gelesen wird. Standard:3 Sekunden |
Zeitüberschreitung bei Inaktivität | Wird zum Abstimmen des HTTP-Servers verwendet. Muss in der Regel nicht geändert werden
aus der Standardeinstellung. Die maximale Wartezeit auf den
nächste Anfrage, wenn inaktive Verbindungen aktiviert sind. Wenn der inaktiven
Zeitüberschreitung auf null gesetzt ist, wird der Wert des Feldes read
Zeitüberschreitung verwendet wird. Wenn beide null sind, wird der Lesevorgang
Header-Zeitlimit verwendet. Standard:3 Sekunden |
Statuscode für Verfügbarkeit | Der Statuscode, den der Forwarder bei einer Aktivitätsprüfung zurückgibt
empfangen und der Forwarder ist verfügbar. Containerplaner und
wie Kubernetes, senden oft Aktivitätsprüfungen. Standard:204 |
Bereit-Statuscode | Der Statuscode, den der Forwarder zurückgibt, wenn er zur Annahme bereit ist
Traffic in einer der folgenden Situationen:
|
Statuscode „Nicht bereit“ | Der Statuscode, den der Forwarder zurückgibt, wenn er nicht akzeptiert werden kann
Zugriffe. Standard:503 |
Logtyp
Eine vollständige Liste der unterstützten Logtypen finden Sie unter Unterstützte Datensätze.
Zwischenspeichern des Laufwerks
Mit der Laufwerkszwischenspeicherung können Sie Backlog-Nachrichten auf dem Laufwerk zwischenspeichern, zu speichern. Die im Rückstand befindlichen Nachrichten können für den Fall gespeichert werden, dass der Forwarder abstürzt oder Abstürze des zugrunde liegenden Hosts. Das Aktivieren der Zwischenspeicherung des Laufwerks kann sich auf die Leistung.
Wenn die Laufwerkszwischenspeicherung deaktiviert ist, verwendet der Collector 1 GB Arbeitsspeicher (RAM) für den erfasst wird. Sie können das Maximum mithilfe der Option Max. (Dateizwischenspeicher) festlegen. Bytes in der Collector-Konfiguration festlegen. Damit wird der maximale RAM bestimmt vom Collector verwendete Größe, bevor zurückgestellte Nachrichten auf dem Laufwerk zwischengespeichert werden. Die der Standardwert ist 1073741824. Das Maximum ist 4.294.967.296.
Wenn Sie den Forwarder mit Docker ausführen, empfiehlt Google, eine vom Konfigurations-Volume getrennt. Außerdem Jede Eingabe sollte mit einem eigenen Verzeichnis oder Volume isoliert werden, um Konflikten.
Einstellungen für Collector-Typ
In jeder Collector-Konfiguration muss ein Collector-Typ angegeben werden. Dieser Abschnitt werden die Collector-Typen und ihre Einstellungen beschrieben.
Datei
Verwenden Sie den Collector-Typ file
, um Logs aus einer einzelnen Logdatei hochzuladen.
Feld | Pflichtfeld oder optionales Feld für diesen Typ | Beschreibung |
---|---|---|
Dateipfad | Erforderlich | Verzeichnispfad und Dateiname. Beispiel:/opt/chronicle/edr/output/sample.txt |
Kafka
Verwenden Sie den Collector-Typ kafka
, um Daten aus Kafka-Themen aufzunehmen. Kafka-Nutzer
genutzt, damit Sie bis zu drei Google Security Operations Forwarder an
Daten aus demselben Kafka-Thema abzurufen. Weitere Informationen finden Sie unter
Kafka:
Weitere Informationen zu Kafka-Nutzergruppen finden Sie unter
Kafka-Nutzer.
Feld | Erforderlich oder optional für diesen Typ | Beschreibung |
---|---|---|
Nutzername | Erforderlich | Der Nutzername einer für die Authentifizierung verwendeten Identität. |
Passwort | Erforderlich | Das mit dem Nutzernamen verknüpfte Kontopasswort. |
Thema | Erforderlich | Das Kafka-Thema, aus dem Daten aufgenommen werden sollen. |
Gruppen-ID | Erforderlich | Eine Gruppen-ID. |
Zeitlimit | Erforderlich | Die maximale Anzahl von Sekunden, die ein Wählvorgang wartet, bis eine Verbindung hergestellt wird.
abgeschlossen ist. Standard : 60 |
Makler | Optional | Geben Sie einen Zwischenhändler in das Textfeld ein. Beispiel:broker-1:9092 Klicken Sie auf Weiteren hinzufügen, um einen weiteren Broker hinzuzufügen. Hinweis:Alle Werte werden während einer Aktualisierung ersetzt. . Um eine Liste mit Zwischenhändlern zu aktualisieren, Broker auf, geben Sie alle vorhandenen Broker und den neuen Broker an. |
TLS-Zertifikat | Erforderlich | Der Pfad und der Name der Zertifikatdatei. Beispiel:/path/to/cert.pem |
TLS-Zertifikatschlüssel | Erforderlich | Der Pfad und der Dateiname des Zertifikatschlüssels. Beispiel:/path/to/cert.key |
Mindestversion für TLS | Erforderlich | Die Mindestversion für TLS. Beispiel:TLSv1_3 |
Überspringen der TLS-Prüfung nicht sicher | Erforderlich | Aktiviert die SSL-Zertifizierungsüberprüfung. Standard:deaktiviert |
Pcap
In diesem Abschnitt werden die folgenden Themen behandelt:
pcap unter Windows verwenden
Der Google Security Operations-Forwarder kann Pakete direkt von einer Netzwerkschnittstelle erfassen mit Npcap auf Windows-Systemen.
Wenden Sie sich an den Google Security Operations-Support, um Ihre Konfigurationsdatei für die Google Security Operations-Weiterleitung zu aktualisieren um die Paketerfassung zu unterstützen.
Zum Ausführen eines PCAP-Forwarders (Packet Capture) benötigen Sie Folgendes:
- Installieren Sie Npcap auf dem Microsoft Windows-Host.
- Gewähren Sie Google Security Operations-Forwarder auf dem Windows-Host Stamm oder Administrator um die Netzwerkschnittstelle zu überwachen.
- Befehlszeilenoptionen sind nicht erforderlich.
- Aktivieren Sie bei der Npcap-Installation den WinPcap-Kompatibilitätsmodus.
pcap unter Linux verwenden
Mit dem Collector-Typ pcap
Pakete direkt aus einem Netzwerk erfassen
mithilfe von libcap unter Linux. Weitere Informationen zu libcap finden Sie unter
libcap – Linux-Manuelle Seite
Pakete werden erfasst und anstelle von Logeinträgen an Google Security Operations gesendet. Paket Datenaufnahme nur über eine lokale Schnittstelle verarbeitet.
Google Security Operations konfiguriert den Google Security Operations-Forwarder mit dem Berkeley Packet Filter (BPF) Ausdruck, der beim Erfassen von Paketen verwendet wird (z. B. Port 53 und nicht localhost). Weitere Informationen finden Sie unter Berkeley-Paketfilter.
Collector-Einstellungen für Pcap
Für Linux und Windows gelten dieselben Collector-Konfigurationseinstellungen. Host.
Feld | Erforderlich oder optional für diesen Typ | Beschreibung |
---|---|---|
Netzwerkschnittstelle | Erforderlich | Die Schnittstelle, auf die PCAP-Daten überwacht werden sollen. Hinweis: Bei einem Windows-Host ist dies die GUID für die zum Erfassen von Paketen verwendete Schnittstelle. Führen Sie folgenden Befehl aus, um diesen Wert abzurufen: getmac.exe auf dem Computer, auf dem Google Security Operations Forwarder installiert ist installiert ist (entweder der Server oder die Maschine, die den Span überwacht Anschluss). Die Ausgabe von getmac.exe beginnt mit \Device\Tcpip_ .
Ersetzen Sie dies durch „\Device\NPF_ “.Beispiel: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Berkeley-Paketfilter | Erforderlich | Der Berkeley Packet Filter (BPF) für Pcap. Beispiel: udp port 53 |
Splunk
Verwenden Sie den Collector-Typ splunk
, um Splunk-Daten zu erfassen.
Feld | Erforderlich oder optional für diesen Typ | Beschreibung |
---|---|---|
Nutzername | Erforderlich | Der Nutzername einer für die Authentifizierung verwendeten Identität. |
Passwort | Erforderlich | Das Passwort des durch den Nutzernamen identifizierten Kontos. |
Host | Erforderlich | Der Host oder die IP-Adresse für die Splunk REST API. Beispiel: https://10.0.113.15 |
Port | Erforderlich | Der Port der Splunk REST API. |
Mindestfenstergröße | Erforderlich | Der Mindestzeitraum in Sekunden, der an die Splunk-Abfrage übergeben wird. Dieses
wird zur Abstimmung verwendet, wenn die Anforderung geändert werden soll, wie
Häufig wird der Splunk-Server abgefragt, wenn sich der Forwarder befindet
konstant. Bei einer Verzögerung kann der Splunk API-Aufruf auch
mehrere Male durchgeführt. Standard:10 |
Maximale Fenstergröße | Erforderlich | Der maximale Zeitraum in Sekunden, der an die Splunk-Abfrage übergeben wird. Dieses
wird für die Feinabstimmung verwendet, wenn es zu einer Verzögerung kommt
Daten sind pro Abfrage erforderlich. Ändern Sie diesen Parameter (gleich oder größer als), wenn Sie den Parameter Minimum. Verzögerungen können auftreten, wenn ein Splunk-Abfrageaufruf die länger als die maximale Fenstergröße dauert. Hinweis : Die Zeiträume überschneiden sich nie, wenn der Splunk Server abgefragt wird. Der abgefragte Zeitraum liegt immer zwischen die Parameter für das minimale und maximale Zeitfenster. Standard:30 |
Abfragestring | Erforderlich | Die Abfrage, die zum Filtern von Datensätzen in Splunk verwendet wird. Beispiel: search index=* sourcetype=dns |
Abfragemodus | Erforderlich | Der Abfragemodus für Splunk. Beispiel: realtime |
Zertifikat ignoriert | Optional | Wenn diese Option aktiviert ist, wird das Zertifikat ignoriert. Standard:deaktiviert |
Syslog
Verwenden Sie den Collector-Typ syslog
, um Syslog-Daten zu erfassen. Sie können beliebige
Appliance oder Server, der das Senden von Syslog-Daten über TCP oder UDP unterstützt
Verbindung, um Daten an Google Security Operations Forwarder weiterzuleiten. Sie können die genauen
Daten, die die Appliance oder der Server an Google Security Operations Forwarder sendet Google Security Operations-Forwarder
die Daten dann an Google Security Operations weiterleiten können.
Feld | Erforderlich oder optional für diesen Typ | Beschreibung |
---|---|---|
Protokoll | Erforderlich | Das Verbindungsprotokoll, das der Collector zum Überwachen von Syslog-Daten verwendet. Gültige Werte sind:
|
Adresse | Erforderlich | Die Ziel-IP-Adresse oder der Hostname, in der sich der Collector befindet, und auf Syslog-Daten wartet. |
Port | Erforderlich | Der Zielport, an dem sich der Collector befindet und auf Syslog wartet Daten. |
Puffergröße | Erforderlich | Die Größe des Socket-Zwischenspeichers in Byte. Der Standardwert für TCP ist 65536. Der Standardwert für UDP ist 8192. |
Zeitüberschreitung der Verbindung | Erforderlich | Die Anzahl der Sekunden der Inaktivität, nach denen die TCP-Verbindung hergestellt wird.
wurde verworfen. Standard:60 |
TLS-Zertifikat | Erforderlich | Der Pfad und der Name der Zertifikatdatei. Beispiel:/path/to/cert.pem |
TLS-Zertifikatschlüssel | Erforderlich | Der Pfad und der Dateiname des Zertifikatschlüssels. Beispiel:/path/to/cert.key |
Mindestversion für TLS | Erforderlich | Die Mindestversion für TLS. Beispiel: TLSv1_3 |
Überspringen der TLS-Prüfung nicht sicher | Erforderlich | Aktiviert die SSL-Zertifizierungsüberprüfung. Standard:deaktiviert |
WebProxy
Zusätzlich zur Angabe der Feldwerte für Google SecOps Forwarder unter Windows installieren Sie die Npcap-Bibliothek auf dem Windows-Computer oder -Gerät. Dies ist für Google SecOps Forwarder auf Linux-Systemen nicht erforderlich.
Feld | Erforderlich oder optional für diesen Typ | Beschreibung |
---|---|---|
Netzwerkschnittstelle | Erforderlich | Die Schnittstelle, die auf Web-Proxy-Daten überwacht wird. |
Berkeley-Paketfilter | Erforderlich | Der Berkeley Packet Filter (BPF) für den Web-Proxy. Beispiel: udp port 53 |
Fehlerbehebung
Die Syslog-Daten werden vom Forwarder nicht empfangen
Achten Sie darauf, dass die Syslog-Einstellungen des Collectors so konfiguriert sind, dass das richtige Verbindungsprotokoll (TCP oder UDP) für die eingehenden Daten verwendet wird. Weitere Informationen finden Sie unter Collector bearbeiten.