Google Security Operations UI でフォワーダー構成を管理する

このページでは、Google セキュリティ オペレーションのユーザー インターフェース(UI)を使用してフォワーダー構成を作成、管理、ダウンロードする方法について説明します。Forwarder Management API を使用して、これらのタスクをプログラムで行うこともできます。

命名規則

このドキュメントでは、次の命名規則を使用します。

  • Google Security Operations Forwarder: デプロイされたソフトウェア コンポーネント。
  • フォワーダー: Google Security Operations インスタンスに保存されている転送者構成の略称。
  • collector: Google Security Operations インスタンスに格納されているときのコレクタ構成の略称。

フォワーダーを追加する

転送者の追加は、Google セキュリティ オペレーション フォワーダーを構成するための最初のステップです。フォワーダーを追加すると、次のことが可能になります。

  • フォワーダー構成に名前を付けます。
  • フォワーダーの構成値を指定します。

新しいフォワーダーを追加すると、部分的に完全なフォワーダー構成が作成されます。フォワーダー構成を完了するには、コレクタを追加する必要があります。コレクタを少なくとも 1 つ追加したら、フォワーダー構成をダウンロードして、Google Security Operations Forwarder がインストールされているマシンまたはデバイスにデプロイできます。

新しいフォワーダーを追加する代わりに、1 つ以上の既存のフォワーダーのクローンを作成できます。詳細については、フォワーダーのクローンを作成をご覧ください。

新しいフォワーダーを追加する手順は、次のとおりです。

  1. ナビゲーション バーで [設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。
  3. [新しいフォワーダーの追加] をクリックします。
  4. [フォワーダー名] フィールドに名前を入力します。
  5. 省略可: [構成値] セクションを展開し、次のいずれかを指定します。

    • アップロードの圧縮: [Yes] を選択して、ログデータを Google Security Operations にアップロードする前に圧縮します。デフォルトは No です。データ圧縮の詳細については、アップロード圧縮をご覧ください。
    • アセットの名前空間: このフォワーダーによって収集されるログを識別する名前空間を入力します。このコレクタは、コレクタレベルにコレクタの名前空間を指定しない限り、このフォワーダーに追加されるすべてのコレクタに適用されます。フォワーダー レベルとコレクタレベルの両方で名前空間を指定すると、コレクタからのログにはフォワーダーの名前空間ではなくコレクタの名前空間が使用されます。アセットの名前空間の詳細については、アセットの名前空間をご覧ください。
    • ラベルキーラベル値:キーと値を入力します。必要に応じて、[新しいラベルを追加] をクリックして、1 つ以上のラベルの Key-Value ペアを追加することもできます。これは、コレクタレベルでオーバーライドされない限り、フォワーダーとコレクタのコレクタに適用されるグローバル設定です。詳しくは、ラベルをご覧ください。
    • フィルタの説明正規表現フィルタの動作: 正規表現に基づいてログをフィルタするフィルタを追加します(RE2 構文)が、未加工のログのすべての受信行と照合されます。フィルタ動作により、一致時に受信行が allowblock かが決まります。デフォルトの動作(フィルタが unspecified の場合を含む)では、一致の動作は受信行を block とし、一致の次の行を評価し続けます。詳細については、正規表現フィルタをご覧ください。
  6. (Syslog コレクションのみ)省略可: [Server settings] を切り替えて、フォワーダーの組み込み HTTP サーバーを構成します。これは、syslog の負荷分散オプションと高可用性オプションの構成に使用できます。 収集できます。これらの設定の詳細については、syslog コレクション用の HTTP サーバー設定をご覧ください。

  7. [送信] をクリックします。

    フォワーダーが追加され、[Add collector configuration] ウィンドウが表示されます。

  8. [Collector name] フィールドに名前を入力します。

  9. [ログタイプ] フィールドをクリックしてログタイプのリストを表示し、次のいずれかを行います。

    • 必要なログタイプが表示されない場合は、ボックスに名前を入力して、他の提案を表示してください。サポートされているログタイプの一覧については、サポートされているデータセットをご覧ください。
    • リストからログタイプを選択します。
  10. 省略可: [構成値] セクションを展開し、次のいずれかを指定します。

    • アセット名前空間: このコレクタによって収集されるログを識別する名前空間を入力します。コレクタに名前空間が指定されている場合、コレクタからのログにはフォワーダーの名前空間ではなく、コレクタの名前空間が使用されます。アセットの名前空間の詳細については、アセットの名前空間をご覧ください。
    • ラベルキーラベル値:キーと値を入力します。必要に応じて、[他にも追加] をクリックして、ラベルの Key-Value ペアを 1 つ以上追加することもできます。このコレクタのログでは、この設定はフォワーダー レベルで指定されたラベルよりも優先されます。詳しくは、ラベルをご覧ください。
    • フィルタの説明正規表現およびフィルタの動作:正規表現に基づいてログをフィルタリングするフィルタを追加します。RE2 構文)は、未加工のログの受信行ごとに照合されます。フィルタ動作により、一致時に受信行が allowblock かが決まります。デフォルトの動作(フィルタが unspecified の場合を含む)では、一致の動作は受信行を block とし、一致の次の行を評価し続けます。詳細については、正規表現フィルタをご覧ください。
  11. 省略可: [詳細設定] セクションを展開し、次のいずれかを指定します。

    • バッチあたりの最大秒数: バッチ間の秒数。デフォルトは 10 です。
    • バッチあたりの最大バイト数: フォワーダーのバッチ アップロードの前にキューに入れられたバイト数。デフォルトは 1048576 です。
  12. 省略可: ディスク バッファ: コレクタをディスク バッファリングを有効にするには、オンに切り替えます。ディスク バッファリングの詳細については、ディスク バッファリングをご覧ください。有効にすると、次の設定を指定できます。

    • ディレクトリ パス: 書き込まれるファイルのディレクトリ パス。
    • 最大ファイル バッファバイト数: バックログにあるメッセージがディスクにバッファされる前にコレクタによって使用される最大ディスクサイズ。デフォルト値は 1073741824 です。最大値は 4294967296 です。
  13. [コレクタタイプ] フィールドをクリックして、コレクタタイプを選択します。各コレクタタイプには独自の構成があります。コレクタタイプとその設定の詳細については、コレクタタイプの設定をご覧ください。

  14. [送信] をクリックします。

コレクタの追加

既存のフォワーダーに 1 つ以上のコレクタを追加できます。

コレクタを追加すると、次のことが可能になります。

  • コレクタに名前を付けます。
  • 収集するログの種類(Pan Firewall、Cisco ASA Firewall など)を指定します。
  • コレクタタイプ(File、Kafka、PCAP、Splunk、Syslog、WebProxy)を指定します。
  • コレクタ構成値を指定します。

フォワーダーに少なくとも 1 つのコレクタを追加したら、フォワーダーの構成をダウンロードして、Google Security Operations Forwarder がインストールされているマシンまたはデバイスにデプロイできます。

新しいコレクタをフォワーダーに追加する手順は次のとおりです。

  1. ナビゲーション バーで [設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。
  3. [フォワーダー] ページで、目的のフォワーダーを探します。フォワーダーのリストが長い場合は、[検索] フィールドを使用します。
  4. コレクタを追加するフォワーダーの上にポインタを置きます。 展開メニュー アイコンが表示されます。
  5. 展開メニュー アイコンをクリックします。
  6. [Add new collector] を選択します。
  7. [Collector name] フィールドに名前を入力します。
  8. [ログタイプ] フィールドをクリックしてログタイプのリストを表示し、次のいずれかを行います。

    • 必要なログタイプが表示されない場合は、ボックスに名前を入力して、他の提案を表示してください。サポートされているログタイプの一覧については、サポートされているデータセットをご覧ください。
    • リストからログタイプを選択します。
  9. 省略可: [構成値] セクションを展開し、次のいずれかを指定します。

    • アセット名前空間: このコレクタによって収集されるログを識別する名前空間を入力します。コレクタに名前空間が指定されている場合、コレクタからのログにはフォワーダーの名前空間ではなく、コレクタの名前空間が使用されます。アセットの名前空間の詳細については、アセットの名前空間をご覧ください。
    • ラベルキーラベル値:キーと値を入力します。必要に応じて、[他にも追加] をクリックして、ラベルの Key-Value ペアを 1 つ以上追加することもできます。このコレクタのログでは、この設定はフォワーダー レベルで指定されたラベルよりも優先されます。詳しくは、ラベルをご覧ください。
    • フィルタの説明正規表現およびフィルタの動作:正規表現に基づいてログをフィルタリングするフィルタを追加します。RE2 構文)は、未加工のログの受信行ごとに照合されます。フィルタ動作により、一致時に受信行が allowblock かが決まります。デフォルトの動作(フィルタが unspecified の場合を含む)では、一致の動作は受信行を block とし、一致の次の行を評価し続けます。詳細については、正規表現フィルタをご覧ください。
  10. 省略可: [詳細設定] セクションを展開し、次のいずれかを指定します。

    • バッチあたりの最大秒数: バッチ間の秒数。デフォルトは 10 です。
    • バッチあたりの最大バイト数: フォワーダーのバッチ アップロードの前にキューに入れられたバイト数。デフォルトは 1048576 です。
  11. 省略可: ディスク バッファ: コレクタをディスク バッファリングを有効にするには、オンに切り替えます。ディスク バッファリングの詳細については、ディスク バッファリングをご覧ください。有効にすると、次の設定を指定できます。

    • ディレクトリ パス: 書き込まれるファイルのディレクトリ パス。
    • 最大ファイル バッファバイト数: バックログにあるメッセージがディスクにバッファされる前にコレクタによって使用される最大ディスクサイズ。デフォルト値は 1073741824 です。最大値は 4294967296 です。
  12. [コレクタタイプ] フィールドをクリックして、コレクタタイプを選択します。各コレクタタイプには独自の構成があります。コレクタタイプとその設定の詳細については、コレクタタイプの設定をご覧ください。

  13. [送信] をクリックします。

フォワーダーを管理する

Google Security Operations インスタンスでフォワーダーを一覧表示する

Google Security Operations インスタンスでフォワーダーを一覧表示するには、次の手順を行います。

  1. ナビゲーション バーで、[設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。フォワーダーのリストが表示されます。
  3. 省略可: [名前] 列または [最終更新日] 列をクリックして、リストを並べ替えます。

必要に応じて、検索フィールドを使用してリスト内の結果を絞り込みます。

フォワーダーのクローンを作成する

クローン作成では、1 つ以上のフォワーダー構成のコピーを作成できます。

フォワーダーのクローンを作成するには、次の手順を行います。

  1. [フォワーダー] ページで、クローンを作成する各フォワーダーのチェックボックスをオンにします。

  2. 展開メニュー アイコンをクリックします。

  3. [選択したクローンを作成] を選択します。

  4. [クローン] をクリックします。 各フォワーダーのコピーが追加されます。

フォワーダー構成を編集する

フォワーダー構成を編集するには、次の手順を行います。

  1. ナビゲーション バーで [設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。フォワーダーのリストが表示されます。
  3. 構成を編集するフォワーダーの上にポインタを置きます。 展開メニュー アイコンが表示されます。

  4. 展開メニュー アイコンをクリックします。

  5. [Edit forwarder configuration] を選択します。

  6. 構成を変更します。詳細については、フォワーダーの追加の手順の構成手順をご覧ください。

  7. [送信] をクリックします。

フォワーダーを削除する

フォワーダーを削除する手順は次のとおりです。

  1. [フォワーダー] ページで、削除する各フォワーダーのチェックボックスをオンにします。

  2. 展開メニュー アイコンをクリックします。

  3. [選択項目を削除] を選択します。

  4. [選択内容を削除] をクリックします。

コレクタの管理

Google Security Operations インスタンスでコレクタを一覧表示する

Google Security Operations インスタンスのコレクタを一覧表示するには、次の手順を行います。

  1. ナビゲーション バーで、[設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。フォワーダーのリストが表示されます。
  3. [名前] 列見出しの横にある展開矢印をクリックします。これにより、すべてのフォワーダーが展開され、フォワーダーごとに最大 5 つのコレクタが表示されます。
  4. フォワーダーに 5 つ以上のコレクタがある場合は、[すべてのコレクタを表示] リンクをクリックします。

コレクタ構成を編集する

コレクタ構成を編集するには、次の手順を行います。

  1. ナビゲーション バーで [設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。フォワーダーのリストが表示されます。
  3. コレクタを編集するフォワーダーの [展開矢印] をクリックします。

  4. コレクタが 6 つ以上ある場合は、[すべてのコレクタを表示] リンクをクリックします。

  5. 構成を編集するコレクタの上にポインタを置きます。[Edit] リンクが表示されます。

  6. [編集] をクリックします。

  7. 構成を変更します。詳細については、コレクタの追加の手順の構成手順をご覧ください。

  8. [送信] をクリックします。

コレクタを削除する

コレクタの削除方法は次のとおりです。

  1. ナビゲーション バーで [設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。フォワーダーのリストが表示されます。
  3. コレクタを削除するフォワーダーの [展開矢印] をクリックします。

  4. コレクタが 6 つ以上ある場合は、[すべてのコレクタを表示] リンクをクリックします。

  5. 構成を編集するコレクタの上にポインタを置きます。[削除] リンクが表示されます。

  6. [削除] をクリックします。

  7. [削除] ボタンをクリックして確定します。

構成ファイルをダウンロードする

フォワーダーをダウンロードするには、少なくとも 1 つのコレクタが必要です。コレクタのないフォワーダーをダウンロードしようとすると、エラーが発生します。

コレクタが 1 つ以上あれば、Google Security Operations インスタンスにリストされているフォワーダーのフォワーダー構成(.conf)ファイル、認証(_auth.conf)ファイル、またはその両方をダウンロードできます。ファイルをダウンロードしたら、Google Security Operations Forwarder が存在する Windows または Linux システムにファイルをデプロイする必要があります。

フォワーダー構成ファイルをダウンロードするには:

  1. ナビゲーション バーで [設定] をクリックします。
  2. [設定] で [フォワーダー] をクリックします。フォワーダーのリストが表示されます。
  3. [フォワーダー] ページで、目的のフォワーダーを探します。フォワーダーのリストが長い場合は、[検索] フィールドを使用します。

  4. 構成ファイルをダウンロードするフォワーダーの上にポインタを置きます。 展開メニュー アイコンが表示されます。

  5. 展開メニュー アイコンをクリックします。

  6. [ダウンロード] を選択します。

  7. [Download forwarder configuration] ダイアログで、次のいずれかを行います。

    • フォワーダー構成ファイルをダウンロードするには、.conf ファイルタイプの横にあるダウンロード アイコンをクリックします。
    • フォワーダー認証ファイルをダウンロードするには、_auth.conf ファイルタイプの横にあるダウンロード アイコンをクリックします。
    • 両方のファイルをダウンロードするには、[すべてダウンロード] をクリックします。

構成設定のリファレンス

フォワーダー構成には、1 つ以上のコレクタが含まれます。

フォワーダー レベルで次の設定を構成できます。

フォワーダー レベルとコレクタレベルで次の設定を構成できます。両方のレベルで設定を構成した場合の結果については、設定のセクションをご覧ください。

コレクタレベルでは次の設定を構成できます。

圧縮のアップロード

デフォルト: 有効

フォワーダーのアップロード圧縮は構成できますが、コレクタには構成できません。この設定を有効にすると、Google Security Operations にアップロードする前にログが圧縮されます。これにより、Google Security Operations への転送時のネットワーク帯域幅の使用量が削減されます。ただし、圧縮によって CPU 使用率が増加する場合があります。

帯域幅と CPU の使用量のトレードオフは、ログデータのタイプ、データの圧縮率、フォワーダーを実行しているホスト上の CPU サイクルの可用性、ネットワーク帯域の消費量の削減の必要性など、さまざまな要因によって決まります。たとえば、テキストベースのログは圧縮率が高く、低い CPU 使用率によって帯域幅を大幅に削減できます。一方、未加工のパケットの暗号化されたペイロードは圧縮率が低く、CPU 使用率が高くなります。

アセットの名前空間

デフォルト: 指定しない場合、このフィールドは空になります。

フォワーダー、コレクタ、またはその両方のアセット名前空間を構成できます。名前空間を使用すると、個別のネットワーク セグメントからのログを識別し、重複する IP アドレスの競合を回避できます。構成した名前空間は、関連するアセットとともに Google セキュリティ オペレーション ユーザー インターフェースに表示されます。Google セキュリティ オペレーションの検索機能を使用して名前空間を検索することもできます。

フォワーダーに名前空間を指定し、フォワーダーの 1 つ以上のコレクタに異なる名前空間を指定できます。コレクタに名前空間が指定されている場合、コレクタからのログにはフォワーダーの名前空間ではなく、コレクタの名前空間が使用されます。

名前空間の使用方法については、アセットの名前空間をご覧ください。

ラベル

デフォルト: 指定しない場合、フィールドは空です。

フォワーダー、コレクタ、またはその両方のラベルを構成できます。ラベルは、キーと値のペアを使用してログに任意のメタデータを追加するために使用されます。ラベルは、フォワーダー全体に対して、またはフォワーダーの特定のコレクタ内で構成できます。両方が指定されている場合、ラベルには、フォワーダー キーが重複する場合にコレクタのキーが優先してマージされます。

正規表現フィルタ

デフォルト: 指定しない場合、フィールドは空です。

フォワーダー、コレクタ、またはその両方に正規表現フィルタを構成できます。正規表現フィルタを使用すると、式に一致する未加工のログの受信行をブロックまたは許可できます。

フィルタでは、RE2 構文を使用します。

フィルタには正規表現を含める必要があります。また、必要に応じて、一致した場合の動作を定義します。一致のデフォルトの動作は「ブロック」です(ブロックとして明示的に構成できます)。

または、許可動作でフィルタを指定することもできます。フィルタを指定すると、フォワーダーによって、少なくとも 1 つの 許可フィルタに一致しないログがブロックされます。

任意の数のフィルタを定義できます。ブロック フィルタは、許可フィルタよりも優先されます。

フィルタを定義する場合は、名前を割り当てる必要があります。アクティブなフィルタの名前は、フォワーダーのヘルス指標を介して Google Security Operations に報告されます。フォワーダー レベルで定義されたフィルタは、コレクタレベルで定義されたフィルタと結合されます。名前が競合する場合、コレクタレベルのフィルタが優先されます。フォワーダーまたはコレクタのレベルでフィルタが定義されていない場合、動作はすべてを許可します。

Syslog 収集用の HTTP サーバー設定

Google Security Operations フォワーダーは、レイヤ 4 ロードバランサがデータソース インスタンスとフォワーダー インスタンスの間にインストールされる環境にデプロイできます。これにより、ログ収集を複数のフォワーダーに分配できます。また、障害が発生しても別のフォワーダーにログを送信することもできます。この機能は、syslog コレクション タイプでのみサポートされています。

フォワーダーには、ロードバランサからの HTTP ヘルスチェックに応答する組み込み HTTP サーバーが含まれています。HTTP サーバーはまた、フォワーダーの起動時またはシャットダウン中にログが失われないようにします。

フォワーダー構成のサーバー設定では、コンテナ スケジューラやオーケストレーション ベースのデプロイで受信されるヘルスチェックや、従来のロードバランサで受信されるヘルスチェックに応じて返されるタイムアウト期間とステータス コードの設定がサポートされます。

次の URL パスを使用して、ヘルス、readiness、liveness のチェックを行います。 <host:port> の値は、フォワーダー構成で定義されます。

  • http://<host:port>/meta/available: Kubernetes などのコンテナ スケジューラ / オーケストレーターの liveness チェック。
  • http://<host:port>/meta/ready: readiness チェックと従来のロードバランサのヘルスチェック。
設定 Description
グレースフル タイムアウト フォワーダーがヘルスチェックに応答して準備完了ステータスを返した後も、新しい接続が受け入れられる時間。これは、停止する信号を受信してから実際にサーバー自体のシャットダウンが開始されるまで、待機する時間でもあります。これにより、ロードバランサがプールからフォワーダーを削除する時間を確保できます。

有効な値は秒単位です。たとえば、10 秒を指定するには、10. を入力します。小数値は使用できません。

デフォルト: 6 秒
ドレイン タイムアウト アクティブな接続がサーバーによって閉じられる前に、独自に正常に終了するまでフォワーダーが待機する時間。たとえば、5 秒を指定するには、5. を入力します。小数値は使用できません。

デフォルト: 10 秒
ポート HTTP サーバーがロードバランサからのヘルスチェックをリッスンするポート番号。値は 1 ~ 10 とする必要があります。

デフォルト: 8000
IP アドレス/ホスト名 サーバーがリッスンできる、IP アドレス、または IP アドレスに解決できるホスト名。

デフォルト:0.0.0.0(ローカル システム)
読み取りタイムアウト HTTP サーバーの調整に使用します。通常、デフォルト設定から変更する必要はありません。ヘッダーと本文の両方のリクエスト全体の読み取りが許可される最大時間。[読み取りタイムアウト] フィールドと [読み取りヘッダー タイムアウト] フィールドの両方を設定できます。

デフォルト: 3 秒
読み取りヘッダーのタイムアウト HTTP サーバーの調整に使用します。通常、デフォルト設定から変更する必要はありません。リクエスト ヘッダーの読み取りに許可される最大時間。接続の読み取り期限は、ヘッダーの読み取り後にリセットされます。

デフォルト: 3 秒
書き込みタイムアウト HTTP サーバーの調整に使用します。通常、デフォルト設定から変更する必要はありません。レスポンスの送信に許可される最大時間。 新しいリクエスト ヘッダーが読み取られるとリセットされます。

デフォルト: 3 秒
アイドル タイムアウト HTTP サーバーの調整に使用します。通常、デフォルト設定から変更する必要はありません。アイドル状態の接続が有効な場合に、次のリクエストを待機する最大時間。アイドル状態のタイムアウト フィールドがゼロに設定されている場合、読み取りタイムアウト フィールドの値が使用されます。両方がゼロの場合、読み取りヘッダー タイムアウト フィールドが使用されます。

デフォルト: 6 秒
使用可能なステータス コード 実行チェックが受信され、フォワーダーが利用可能な場合に、フォワーダーが返すステータス コード。Kubernetes などのコンテナのスケジューラ / オーケストレーターは、多くの場合、liveness チェックを行います。

デフォルト: 204
準備完了ステータス コード 次のいずれかの状況でトラフィックを受け入れる準備ができた場合に、フォワーダーが返すステータス コード。
  • 準備チェックは、Kubernetes などのコンテナ スケジューラまたはオーケストレーターから受信されます。
  • ヘルスチェックは、従来のロードバランサから受信されます。
デフォルト: 204
準備未完了のステータス コード トラフィックを受け入れる準備ができていない場合に、フォワーダーが返すステータス コード。

デフォルト: 503

ログタイプ

サポートされているログタイプの一覧については、サポートされているデータセットをご覧ください。

ディスク バッファリング

ディスク バッファリングを行うと、バックログにあるメッセージをメモリではなくディスクにバッファリングできます。バックログにあるメッセージは、フォワーダーがクラッシュした場合や、基盤となるホストがクラッシュした場合に備えて保存できます。ディスク バッファリングを有効にするとパフォーマンスに影響する可能性があるので注意してください。

ディスク バッファリングが無効になっている場合、コレクタは収集したログに 1 GB のメモリ(RAM)を使用します。最大値は、コレクタ構成の [最大ファイル バッファバイト数] 設定を使用して指定できます。これにより、バックログにあるメッセージがディスクにバッファリングされる前に、コレクタによって使用される RAM の最大サイズが決まります。デフォルト値は 1073741824 です。最大値は 4294967296 です。

Docker を使用してフォワーダーを実行している場合は、分離の目的のため、構成ボリュームとは別のボリュームをマウントすることをおすすめします。また、競合を避けるために、各入力を独自のディレクトリまたはボリュームで分離するべきです。

コレクタタイプの設定

各コレクタ構成にはコレクタタイプを指定する必要があります。このセクションでは、コレクタのタイプとその設定について説明します。

File

単一のログファイルからログをアップロードするには、file コレクタタイプを使用します。

フィールド このタイプの必須フィールドまたはオプション フィールド Description
ファイルパス 必須 ディレクトリ パスとファイル名。例えば:


/opt/chronicle/edr/output/sample.txt

Kafka

kafka コレクタタイプを使用して、Kafka トピックからデータを取り込む。Kafka コンシューマー グループを活用すると、最大 3 つの Google Security Operations Forwarder をデプロイして、同じ Kafka トピックからデータを pull できます。詳細については、Kafka をご覧ください。Kafka 消費者グループの詳細については、Kafka コンシューマーをご覧ください。

フィールド このタイプで必須または省略可 Description
ユーザー名 必須 認証に使用される ID のユーザー名。
パスワード 必須 ユーザー名に関連付けられたアカウントのパスワード。
トピック 必須 データの取り込み元の Kafka トピック。
グループ ID 必須 グループ ID。
タイムアウト 必須 ダイヤルが接続の完了を待つ最大秒数。

デフォルト: 60
仲介業者 省略可 テキスト ボックスにブローカーを入力します。例えば:


broker-1:9092


[Add another] をクリックして、別のブローカーを追加します。

注: 更新オペレーション中にすべての値が置き換えられます。したがって、新しいブローカーを追加するブローカーのリストを更新するには、既存のすべてのブローカーと新しいブローカーを指定します。
TLS 証明書 必須 パスと証明書のファイル名。例えば:


/path/to/cert.pem

TLS 証明書鍵 必須 パスと証明書のキーファイル名。例えば:


/path/to/cert.key

TLS の最小バージョン 必須 最小 TLS バージョン。

例: TLSv1_3
TLS 安全でないスキップの検証 必須 SSL 認証の検証を有効にします。

デフォルト: 無効

Pcap

このセクションでは、次の項目について説明します。

Windows での pcap の使用

Google セキュリティ オペレーション フォワーダーでは、Windows システムの Npcap を使用してネットワーク インターフェースから直接パケットをキャプチャできます。

Google Security Operations のサポートにお問い合わせのうえ、パケット キャプチャをサポートするよう Google Security Operations のフォワーダー構成ファイルを更新してください。

パケット キャプチャ(PCAP)フォワーダーを実行するには、次の要件を満たすことが必要です。

  • Microsoft Windows ホストに Npcap をインストールします。
  • Windows ホストで、Google Security Operations フォワーダーに root または管理者権限を付与して、ネットワーク インターフェースをモニタリングします。
  • コマンドライン オプションは必要ありません。
  • Npcap のインストールで、WinPcap 互換モードを有効にします。
Linux での pcap の使用

Linux では libcap を使用してネットワーク インターフェースから直接パケットを取得するには、pcap コレクタタイプを使用します。libcap の詳細については、libcap - Linux のマニュアル ページをご覧ください。

パケットはキャプチャされ、ログエントリではなく Google Security Operations に送信されます。パケット キャプチャはローカル インターフェースからのみ処理されます。

Google Security Operations は、パケットをキャプチャするために使用される Berkeley Packack Filter(BPF)式を使用して Google Security Operations フォワーダーを構成します(たとえば、localhost ではなく、ポート 53)。詳細については、Berkeley パケット フィルタをご覧ください。

pcap のコレクタ設定

Linux または Windows ホストに、同じコレクタ構成設定が適用されます。

フィールド このタイプで必須または省略可 Description
ネットワーク インターフェース 必須 PCAP データをリッスンするインターフェース。

注: Windows ホストの場合、これは、パケットをキャプチャするインターフェースの GUID です。この値を取得するには、Google Security Operations Forwarder がインストールされているマシン(サーバーまたはスパンポートをリッスンしているマシン)で getmac.exe を実行します。getmac.exe の出力は \Device\Tcpip_ で始まります。 これは \Device\NPF_ で置き換えます。

例:


\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Berkeley のパケット フィルタ 必須 pcap の Berkeley Packet Filter(BPF)。

例: udp port 53

Splunk

splunk コレクタタイプを使用して、Splunk データを収集します。

フィールド このタイプで必須または省略可 Description
ユーザー名 必須 認証に使用される ID のユーザー名。
パスワード 必須 ユーザー名によって識別されたアカウントのパスワード。
ホスト 必須 Splunk REST API のホストまたは IP アドレス。

例: https://10.0.113.15
ポート 必須 Splunk REST API のポート。
最小ウィンドウ サイズ 必須 Splunk クエリに渡される最小の時間範囲(秒)。このパラメータは、フォワーダーが安定した状態のときに Splunk サーバーにクエリを行う頻度を変更する必要がある場合に、調整に使用されます。また、遅延がある場合、Splunk API 呼び出しが複数回行われる場合があります。

デフォルト: 10
最大ウィンドウ サイズ 必須 Splunk クエリに渡される最大時間範囲(秒単位)。このパラメータは、遅延がある場合やクエリごとにより多くのデータが必要な場合に、調整に使用されます。

最小パラメータを変更する場合は、このパラメータを(同等以上の値に)変更します。遅延ケースは、Splunk のクエリ呼び出しが 最大ウィンドウサイズよりも長い時間を要する場合に発生する可能性があります。

注: Splunk サーバーがクエリされた場合に、時間範囲が重複することはありません。クエリされる時間範囲は常に、最小時間枠パラメータと最大時間枠パラメータの間です。

デフォルト: 30
クエリ文字列 必須 Splunk 内のレコードをフィルタリングするために使用されるクエリ。

例: search index=* sourcetype=dns
クエリモード 必須 Splunk のクエリモード。

例: realtime
証明書を無視 省略可 有効にした場合、証明書は無視されます。

デフォルト: 無効

Syslog

syslog コレクタタイプを使用して syslog データを収集します。TCP または UDP 接続を介した syslog データの送信をサポートするアプライアンスやサーバーを構成して、そのデータを Google Security Operations Forwarder に転送できます。アプライアンスやサーバーが Google Security Operations Forwarder に送信するデータを正確に制御できます。Google Security Operations Forwarder は、データを Google Security Operations に転送できます。

フィールド このタイプで必須または省略可 Description
プロトコル 必須 コレクタが syslog データをリッスンするために使用する接続プロトコル。指定できる値は次のとおりです。

  • TCP
  • UDP
住所 必須 コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名。
ポート 必須 コレクタが存在し、syslog データをリッスンするターゲット ポート。
バッファのサイズ 必須 ソケットのバッファのサイズ(バイト単位)。

TCP のデフォルト値は 65536 です。
UDP のデフォルト値は 8192 です。
接続タイムアウト 必須 TCP 接続が切断されるまでの秒数。

デフォルト: 60
TLS 証明書 必須 パスと証明書のファイル名。例えば:


/path/to/cert.pem

TLS 証明書鍵 必須 パスと証明書のキーファイル名。例えば:


/path/to/cert.key

TLS の最小バージョン 必須 最小 TLS バージョン。

例: TLSv1_3
TLS 安全でないスキップの検証 必須 SSL 認証の検証を有効にします。

デフォルト: 無効

WebProxy

Windows 上の Google SecOps フォワーダーのフィールド値を指定するだけでなく、Windows マシンまたはデバイスに Npcap ライブラリをインストールします。これは、Linux システムの Google SecOps フォワーダーでは必要ありません。

フィールド このタイプで必須または省略可 Description
ネットワーク インターフェース 必須 ウェブプロキシ データをリッスンするインターフェース。
Berkeley のパケット フィルタ 必須 ウェブプロキシの Berkeley Packet Filter(BPF)。

例: udp port 53

トラブルシューティング

Syslog データがフォワーダーによって受信されない

コレクタの Syslog 設定が、受信データに対して正しい接続プロトコル(TCP または UDP)を使用するように構成されていることを確認します。詳しくは、コレクタを編集するをご覧ください。