Administra la configuración de los servidores de reenvío con la IU de Google Security Operations

En esta página, se describe cómo crear, administrar y descargar configuraciones de reenvío con la interfaz de usuario (IU) de Google Security Operations. También puedes realizar estas tareas de forma programática con el API de Forwarder Management.

Convenciones de nombres

En este documento, se usan las siguientes convenciones de nomenclatura:

  • Security Operations Forwarder de Google: Es el componente de software implementado.
  • forwarder: Es el nombre corto de una configuración de reenvío cuando se almacena en tu instancia de Google Security Operations.
  • collector: Es el nombre corto de la configuración de un recopilador cuando se almacena en tu instancia de Google Security Operations.

Agregar reenviadores

Agregar un servidor de reenvío es el primer paso para configurar un servidor de reenvío de Google Security Operations. Agregar un servidor de reenvío te permite hacer lo siguiente:

  • Nombra una configuración de reenvío.
  • Especifica los valores de configuración del servidor de reenvío.

Cuando se agrega un nuevo servidor de reenvío, se crea una configuración de reenvío parcialmente completa. Para completar la configuración del reenviador, debes agregar un recopilador. Después de agregar al menos un recopilador, puedes descargar el servidor de reenvío. configuración y, luego, implementarlo en una máquina o un dispositivo donde Google Security Operations Forwarder esté esté instalado.

En lugar de agregar un nuevo reenvío, puedes clonar uno o más existentes servidores de reenvío. Para obtener más información, consulta Clonar reenviadores.

Para agregar un nuevo servidor de reenvío, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores.
  3. Haz clic en Agregar nuevo reenvío.
  4. En el campo Nombre del reenvío, escribe un nombre.

  5. Opcional: Expande la sección Valores de configuración y especifica alguna de las siguientes opciones:

    • Subir compresión: Selecciona para comprimir los datos de registro antes de que se hagan un archivo a Google Security Operations. La configuración predeterminada es No. Para obtener detalles sobre los datos compresión, consulta Subir compresión.
    • Espacio de nombres del recurso: escribe un espacio de nombres que identifique los registros que se que recopila este servidor de reenvío. Este espacio de nombres se aplicará a todos los recopiladores que se agreguen a este reenviador, a menos que especifiques un espacio de nombres para un colector a nivel de colector. Si especificas un espacio de nombres a nivel del reenviador y del colector, se usa el espacio de nombres del colector en lugar del del reenviador para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
    • Clave de etiqueta y Valor de la etiqueta: Escribe una clave y un valor. Si lo deseas, También puedes hacer clic en Agregar etiqueta nueva para agregar una o más etiquetas. clave:valor. Esta es una configuración global que se aplica a los servidores de reenvío y los recopiladores de reenvío, a menos que se anulen a nivel de recopilador. Para obtener más información, consulta Etiquetas.
    • Descripción del filtro, Expresión regular y Comportamiento del filtro: Agrega filtros que filtren los registros en función de las expresiones regulares La (sintaxis RE2) coincide con cada línea entrante del registro sin procesar. El comportamiento del filtro determina si se aplica allow o block la línea entrante en caso de una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el el comportamiento de los usuarios en una coincidencia es block la línea entrante y, luego, continuar evaluar la línea siguiente para encontrar una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.

  6. (Solo para la colección Syslog) Opcional: Activa Configuración del servidor a configurar el servidor HTTP incorporado del servidor de reenvío, que puede usarse para configurar opciones de balanceo de cargas y alta disponibilidad para syslog colección en Linux. Para obtener detalles sobre estos parámetros de configuración, consulta Configuración del servidor HTTP para la colección syslog.

  7. Haz clic en Enviar.

    Se agrega el reenviador y aparece la ventana Agregar configuración del colector.

  8. En el campo Nombre del colector, escribe un nombre.

  9. Haz clic en el campo Tipo de registro para ver una lista de los tipos de registro y realizar una de las siguientes acciones: lo siguiente:

    • Si no ves el tipo de registro que quieres, empieza a escribir su nombre en la para ver más sugerencias. Para obtener una lista completa de los tipos de registros admitidos, ver Conjuntos de datos admitidos.
    • Selecciona un tipo de registro de la lista.

  10. Opcional: Expande la sección Valores de configuración y especifica cualquier de las siguientes opciones:

    • Espacio de nombres del recurso: escribe un espacio de nombres que identifique los registros que se que recopila este recopilador. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del recopilador en lugar del del servidor de reenvío para los registros de ese recopilador. Para obtener más información sobre los espacios de nombres de los recursos, ver Espacios de nombres de recursos.
    • Clave de etiqueta y valor de etiqueta: Escribe una clave y un valor. Si lo deseas, También puedes hacer clic en Agregar otra para agregar una o más etiquetas clave:valor. Para los registros de este recopilador, este parámetro de configuración anula las etiquetas se especifican a nivel del reenviador. Para obtener más información, consulta Etiquetas.
    • Descripción del filtro, Expresión regular y Comportamiento del filtro: Agrega filtros que filtren los registros en función de las expresiones regulares (Sintaxis RE2) coincide con cada línea entrante del registro sin procesar. El comportamiento del filtro determina si se aplica allow o block la línea entrante en caso de una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el el comportamiento de los usuarios en una coincidencia es block la línea entrante y, luego, continuar evaluar la línea siguiente para encontrar una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.

  11. Opcional: Expande la sección Configuración avanzada y especifica lo siguiente:

    • Máx. de segundos por lote: La cantidad de segundos entre lotes. El valor predeterminado 10.
    • Máx. de bytes por lote: La cantidad de bytes en cola antes del reenvío. carga por lotes. El valor predeterminado es 1048576.

  12. Búfer de disco: Establece el botón de activación en activado para habilitar el disco (opcional) almacenamiento en búfer para el colector. Para obtener detalles sobre el almacenamiento en búfer consulta Almacenamiento en búfer de disco. Cuando se habilita, puedes especificar la siguiente configuración:

    • Directory path: Es la ruta de acceso al directorio de los archivos escritos.
    • Máx. de bytes del búfer de archivo: Es el tamaño máximo de disco que usa el colector. antes de que los mensajes pendientes se almacenen en búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.

  13. Haz clic en el campo Tipo de colector y selecciona un tipo de colector. Cada el tipo de recopilador tiene sus propios parámetros de configuración que puedes establecer. Más información sobre los tipos de recopiladores y su configuración, consulta Configuración del tipo de colector.

  14. Haz clic en Enviar.

Agregar recopiladores

Puedes agregar uno o más recopiladores a un servidor de reenvío existente.

Agregar un recopilador te permite hacer lo siguiente:

  • Asigna un nombre al recopilador.
  • Especifica el tipo de registro que se debe recopilar, como firewall panorámico, Cisco ASA Firewall, entre otros.
  • Especifica el tipo de colector: File, Kafka, PCAP, Splunk, Syslog o WebProxy.
  • Especifica los valores de configuración del recopilador.

Después de agregar al menos un recopilador a un reenviador, podrás descargar el configuración de reenviadores y, luego, implementarla en una máquina o un dispositivo donde Google Security Operations Forwarder está instalado.

Para agregar un recopilador nuevo a un reenviador, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores.
  3. En la página Forwarders, busca el servidor de reenvío que deseas. Si la lista de Forwarders es largo, usa el campo Search.
  4. Mantén el puntero sobre el objeto de reenvío para el que deseas agregar un recopilador. Se muestra el ícono del menú de expansión .
  5. Haz clic en el ícono del menú desplegable .
  6. Elige Agregar nuevo recopilador.
  7. En el campo Nombre del colector, escribe un nombre.

  8. Haz clic en el campo Tipo de registro para ver una lista de los tipos de registro y realizar una de las siguientes acciones: lo siguiente:

    • Si no ves el tipo de registro que quieres, empieza a escribir su nombre en la para ver más sugerencias. Para obtener una lista completa de los tipos de registros admitidos, ver Conjuntos de datos admitidos.
    • Selecciona un tipo de registro de la lista.

  9. Opcional: Expande la sección Valores de configuración y especifica cualquier de las siguientes opciones:

    • Espacio de nombres del recurso: escribe un espacio de nombres que identifique los registros que se que recopila este recopilador. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del recopilador en lugar del del servidor de reenvío para los registros de ese recopilador. Para obtener más información sobre los espacios de nombres de los recursos, ver Espacios de nombres de recursos.
    • Clave de etiqueta y valor de etiqueta: Escribe una clave y un valor. Si lo deseas, También puedes hacer clic en Agregar otra para agregar una o más etiquetas clave:valor. Para los registros de este recopilador, este parámetro de configuración anula las etiquetas se especifican a nivel del reenviador. Para obtener más información, consulta Etiquetas.
    • Descripción del filtro, Expresión regular y Comportamiento del filtro: Agrega filtros que filtren los registros en función de las expresiones regulares (Sintaxis RE2) coincide con cada línea entrante del registro sin procesar. El comportamiento del filtro determina si se aplica allow o block la línea entrante en caso de una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el el comportamiento de los usuarios en una coincidencia es block la línea entrante y, luego, continuar evaluar la línea siguiente para encontrar una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.

  10. Opcional: Expande la sección Configuración avanzada y especifica lo siguiente:

    • Máx. de segundos por lote: La cantidad de segundos entre lotes. El valor predeterminado 10.
    • Máx. de bytes por lote: La cantidad de bytes en cola antes del reenvío. carga por lotes. El valor predeterminado es 1048576.

  11. Búfer de disco: Establece el botón de activación en activado para habilitar el disco (opcional) almacenamiento en búfer para el colector. Para obtener detalles sobre el almacenamiento en búfer consulta Almacenamiento en búfer de disco. Cuando se habilita, puedes especificar la siguiente configuración:

    • Directory path: Es la ruta de acceso al directorio de los archivos escritos.
    • Máx. de bytes del búfer de archivo: Es el tamaño máximo de disco que usa el colector. antes de que los mensajes pendientes se almacenen en búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.

  12. Haz clic en el campo Tipo de colector y selecciona un tipo de colector. Cada el tipo de recopilador tiene sus propios parámetros de configuración que puedes establecer. Más información sobre los tipos de recopiladores y su configuración, consulta Configuración del tipo de colector.

  13. Haz clic en Enviar.

Administrar servidores de reenvío

Genera una lista de los servidores de reenvío en una instancia de Google Security Operations

Para enumerar los servidores de reenvío en una instancia de Google Security Operations, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
  3. Opcional: Para ordenar la lista, haz clic en las columnas Nombre o Última actualización.

También puedes usar el campo de búsqueda para limitar los resultados de tu lista.

Clonadores de reenvío

La clonación te permite crear una copia de una o más configuraciones de reenvío.

Para clonar los servidores de reenvío, sigue estos pasos:

  1. En la página Forwarders, selecciona la casilla de verificación de cada reenviador que quieras clonar.

  2. Haz clic en el ícono del menú desplegable .

  3. Selecciona Clonar seleccionada.

  4. Haz clic en Clonar. Se agrega una copia de cada reenviador.

Edita una configuración de reenviador

Para editar la configuración de un servidor de reenvío, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.

  3. Mantén el puntero sobre el objeto de reenvío para el que deseas editar la configuración. Se muestra el ícono del menú de expansión .

  4. Haz clic en el ícono del menú desplegable .

  5. Selecciona Edit Forwarder configuration.

  6. Realiza los cambios en la configuración. Para obtener más información, consulta los pasos de configuración en el procedimiento para agregar servidores de reenvío.

  7. Haz clic en Enviar.

Borrar reenviadores

Para borrar los servidores de reenvío, sigue estos pasos:

  1. En la página Forwarders, selecciona la casilla de verificación de cada reenviador que quieras borrar.

  2. Haz clic en el ícono del menú desplegable .

  3. Selecciona Borrar elementos seleccionados.

  4. Haz clic en Borrar selección.

Administrar recopiladores

Obtén una lista de los recopiladores en una instancia de Google Security Operations

Para enumerar los recopiladores en una instancia de Google Security Operations, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
  3. Haz clic en la flecha de expansión junto al encabezado de la columna Nombre. Esto expande todos los servidores de reenvío y muestra hasta cinco recopiladores para cada servidor de reenvío.
  4. Si un servidor de reenvío tiene más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.

Edita la configuración de un colector

Para editar la configuración de un recopilador, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.

  3. Haz clic en la flecha de expansión del servidor de reenvío para el que deseas editar un recopilador.

  4. Si hay más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.

  5. Mantén el puntero sobre el recopilador para el que deseas editar la configuración. Aparecerá el vínculo Editar.

  6. Haz clic en Edit.

  7. Realiza los cambios en la configuración. Si deseas obtener más información, consulta los pasos de configuración en el procedimiento para agregar recopiladores.

  8. Haz clic en Enviar.

Borra un recopilador

Para borrar un recopilador, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.

  3. Haz clic en la flecha de expansión del servidor de reenvío en el que deseas borrar un recopilador.

  4. Si hay más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.

  5. Mantén el puntero sobre el recopilador para el que deseas editar la configuración. Aparecerá el vínculo Borrar.

  6. Haz clic en el vínculo Borrar.

  7. Para confirmar la acción, haz clic en el botón Borrar.

Descarga los archivos de configuración

La descarga de un servidor de reenvío requiere al menos un recopilador. Si intentas descargar un servidor de reenvío sin un recopilador, se mostrará un error.

Puedes descargar el archivo de configuración de reenvío (.conf), el archivo de autenticación (_auth.conf) o ambos para cualquier servidor de reenvío que aparezca en tu instancia de Google Security Operations, siempre y cuando tenga al menos un recopilador. Después de descargar los archivos, deberás implementarlos en el sistema Windows o Linux en el que reside el Forwarder de Google Security Operations.

Para descargar los archivos de configuración de reenvío, haz lo siguiente:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.

  3. En la página Forwarders, busca el servidor de reenvío que deseas. Si la lista de Forwarders es largo, usa el campo Search.

  4. Mantén el puntero sobre el servidor de reenvío para el que deseas descargar los archivos de configuración. Se muestra el ícono del menú de expansión .

  5. Haz clic en el ícono del menú desplegable .

  6. Selecciona Descargar.

  7. En el diálogo Download Forwarder configuration, realiza una de las siguientes acciones:

    • Para descargar el archivo de configuración de reenvío, haz clic en el ícono de descarga junto al tipo de archivo .conf.
    • Para descargar el archivo de autenticación de reenvío, haz clic en el ícono de descarga junto al tipo de archivo _auth.conf.
    • Para descargar ambos archivos, haz clic en Descargar todo.

Referencia de los parámetros de configuración

Los parámetros de configuración de los servidores de reenvío incluyen uno o más recopiladores.

En el nivel de reenvío, puedes establecer los siguientes parámetros de configuración:

Puedes definir los siguientes parámetros en el nivel de reenvío y las a nivel de recopilador. Para comprender el resultado de establecer la configuración en ambos niveles, consulta la sección para ver la configuración.

Puedes establecer los siguientes parámetros de configuración en el nivel del recopilador:

Subir compresión

Configuración predeterminada: Habilitado

Puedes configurar la compresión de carga para un reenviador, pero no para un colector. Cuando se habilita, este parámetro de configuración comprime los registros antes de que se suban a Google Security Operations. Esto reduce el consumo de ancho de banda de la red durante la transferencia Google Security Operations. Sin embargo, la compresión puede aumentar el uso de la CPU.

La compensación entre el uso del ancho de banda y de la CPU depende de muchos factores, incluidos los siguientes: el tipo de datos de registro, la compresibilidad, la disponibilidad de de red en el host que ejecuta el servidor de reenvío, y la necesidad de reducir el consumo de ancho de banda. Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionan ahorros de ancho de banda significativos con un bajo uso de CPU. Sin embargo, la encriptación de paquetes sin procesar no se comprimen bien y generan un mayor uso de CPU.

Espacios de nombres de recursos

Predeterminado: Si no se especifica, el campo estará vacío.

Puedes configurar un espacio de nombres de recursos para un reenviador, un colector o ambos. Tú puede usar un espacio de nombres para identificar registros de distintos segmentos de red y de conflictos de direcciones IP superpuestas. Todos los espacios de nombres que configures con los recursos asociados en la interfaz de usuario de Google Security Operations. También puedes buscar para los espacios de nombres usando la función de búsqueda de Google Security Operations.

Puedes especificar un espacio de nombres para un servidor de reenvío y diferentes espacios de nombres para uno o más recopiladores del objeto Forwarder. Si se especifica un espacio de nombres para un de codificador, se usa el espacio de nombres de este, en lugar del espacio de reenvío, para los registros de ese recopilador.

Para obtener información sobre el uso de espacios de nombres, consulta Espacios de nombres de recursos.

Etiquetas

Predeterminado: Si no se especifica, los campos estarán vacíos.

Puedes configurar etiquetas para un reenviador, un colector o ambos. Se usan etiquetas para adjuntar metadatos arbitrarios a los registros mediante pares clave-valor. Las etiquetas se pueden para todo un servidor de reenvío o para un recopilador específico de una reenviador. Si se proporcionan ambas, las etiquetas se combinan con las claves del recopilador. sobre las del reenviador si estas se superponen.

Filtros de expresiones regulares

Predeterminado: Si no se especifica, los campos estarán vacíos.

Puedes configurar filtros de expresiones regulares para servidores de reenvío, recopiladores o ambos. Los filtros de expresiones regulares permiten bloquear o permitir líneas entrantes de un de registro que coincidan con la expresión.

Los filtros usan el Sintaxis RE2:

Los filtros deben incluir una expresión regular y, de forma opcional, definir un comportamiento. cuando hay una coincidencia. El comportamiento predeterminado de una coincidencia es bloquear (también puedes configurarlo explícitamente como bloque).

De manera alternativa, puedes especificar filtros con el comportamiento allow. Si especificas algún filtro de permiso, el reenviador bloquea los registros que no coinciden con al menos uno permiso.

Es posible definir un número arbitrario de filtros. Los filtros de bloqueo toman prioridad sobre los filtros de permiso.

Cuando se definen filtros, se les debe asignar un nombre. Los nombres de los activos los filtros se informan a Google Security Operations a través de métricas de estado de reenvío. Filtros definidas en el nivel de reenvío se combinan con filtros definidos en el recopilador. a nivel de organización. Los filtros a nivel del colector tienen prioridad en los casos de nombres en conflicto. Si no se definen filtros a nivel del reenviador o del colector, el comportamiento es permitir todo.

Configuración del servidor HTTP para la colección syslog

Google Security Operations Forwarder se puede implementar en un entorno en el que se El balanceador de cargas de capa 4 se instala entre la fuente de datos y el servidor de reenvío. individuales. Esto te permite distribuir la recopilación de registros entre o enviar registros a un servidor de reenvío diferente si uno falla. Esta Esta función solo es compatible con el tipo de colección syslog.

El servidor de reenvío incluye un servidor HTTP integrado que responde a las verificaciones de estado del balanceador de cargas. El servidor HTTP también ayuda a garantizar que los registros de red no se pierden durante el inicio o el cierre de un servidor de reenvío.

La configuración del servidor en las configuraciones de reenvío admite la configuración de tiempo de espera las duraciones y los códigos de estado mostrados en respuesta a las verificaciones de estado recibidas en de contenedores y implementaciones basadas en la organización, y de los modelos de cargas HTTP(S) externos regionales.

Usa las siguientes rutas de URL para las verificaciones de estado, preparación y funcionamiento. El Los valores de <host:port> se definen en la configuración del servidor de reenvío.

  • http://<host:port>/meta/available: verificaciones de actividad para el contenedor para programadores y organizadores, como Kubernetes.
  • http://<host:port>/meta/ready: Verificaciones de disponibilidad y carga tradicional del balanceador de cargas y las verificaciones de estado del balanceador.
Parámetro de configuración Descripción
Tiempo de espera ordenado La cantidad de tiempo durante el cual aún se aceptan nuevas conexiones luego de reenviador muestra un estado no listo en respuesta a una verificación de estado. Este también es el tiempo de espera entre la recepción de una señal para detenerse y antes del cierre del servidor. Esto permite que las tiempo del balanceador de cargas para quitar el servidor de reenvío del grupo.

Los valores válidos están en segundos. Por ejemplo, para especificar 10 segundos, escribe 10.. No se permiten valores decimales.

Predeterminado: 15 segundos
Tiempo de espera del vaciado La cantidad de tiempo que el servidor de reenvío espera a que las conexiones activas cerrar con éxito por su cuenta antes de que el servidor. Por ejemplo, para especificar 5 segundos, escribe 5.. No se permiten valores decimales.

Predeterminado: 10 segundos
Puerto El número de puerto que escucha el servidor HTTP para las verificaciones de estado del balanceador de cargas. El valor debe estar entre 1024 y 65535.

Predeterminado: 8080
Dirección IP o nombre de host La dirección IP o un nombre de host que se puede resolver en una dirección IP que el servidor debe escuchar.

Predeterminado: 0.0.0.0 (el sistema local)
Tiempo de espera de lectura Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo permitida para la lectura toda la solicitud, tanto el encabezado como el cuerpo. Puedes establecer ambos el campo tiempo de espera de lectura y el encabezado de lectura tiempo de espera.

Predeterminado: 3 segundos
Tiempo de espera del encabezado de lectura Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo permitida para la lectura encabezados de solicitud. La fecha límite de lectura de la conexión se restablece después de al leer el encabezado.

Predeterminado: 3 segundos
Tiempo de espera de escritura Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo permitida para el envío una respuesta. Se restablece cuando se lee un nuevo encabezado de la solicitud.

Predeterminado: 3 segundos
Tiempo de espera inactivo Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo que se debe esperar para que siguiente solicitud cuando las conexiones inactivas están habilitadas. Si el estado inactivo tiempo de espera esté establecido en cero, el valor del permiso lectura tiempo de espera. Si ambos son cero, la lectura encabezado de tiempo de espera .

Predeterminado: 3 segundos
Código de estado disponible El código de estado que devuelve el servidor de reenvío cuando se realiza una verificación de funcionamiento y el servidor de reenvío está disponible. Los programadores de contenedores y de seguridad, como Kubernetes, a menudo envían verificaciones de funcionamiento.

Predeterminado: 204
Código de estado Listo El código de estado que devuelve el servidor de reenvío cuando está listo para aceptar tráfico en cualquiera de las siguientes situaciones:
  • Se recibe una verificación de preparación de un programador de contenedores de desarrollo de software, como Kubernetes.
  • Se recibe una verificación de estado de un balanceador de cargas tradicional.
Predeterminado: 204
El código de estado no está listo El código de estado que devuelve el servidor de reenvío cuando no está listo para aceptar tráfico.

Predeterminado: 503

Tipo de registro

Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.

Almacenamiento en búfer del disco

El almacenamiento en búfer del disco permite almacenar en búfer los mensajes pendientes en el disco, memoria. Los mensajes pendientes se pueden almacenar en caso de que falle el servidor de reenvío o falla el host subyacente. Ten en cuenta que habilitar el almacenamiento en búfer del disco puede afectar rendimiento.

Si el almacenamiento en búfer de disco está inhabilitado, el colector usa 1 GB de memoria (RAM) para la y los registros que recopila. Puedes especificar el valor máximo con el valor Max file buffer bytes en la configuración del colector. Esto determina la cantidad máxima de RAM el tamaño que usa el colector antes de que los mensajes pendientes se almacenen en el búfer en el disco. El el valor predeterminado es 1073741824. El máximo es 4294967296.

Si ejecutas el servidor de reenvío con Docker, Google recomienda activar un independiente del volumen de configuración por motivos de aislamiento. Además, cada entrada debe aislarse con su propio directorio o volumen para evitar conflictos.

Configuración del tipo de recopilador

Cada configuración de colector debe especificar un tipo de colector. Esta sección describe los tipos de colector y su configuración.

Archivo

Usa el tipo de colector file para subir registros desde un solo archivo de registro.

Campo Campo opcional o obligatorio para este tipo Descripción
Ruta de acceso al archivo Obligatorio La ruta de acceso del directorio y el nombre de archivo. Por ejemplo:

/opt/chronicle/edr/output/sample.txt

Kafka

Usar el tipo de colector kafka para transferir datos de los temas de Kafka Consumidor de Kafka se aprovechan para permitirte implementar hasta tres Google Security Operations Forwarders extraen datos del mismo tema de Kafka. Para obtener más información, consulta Kafka. Para obtener más información sobre los grupos de consumidores de Kafka, consulta Consumidor de Kafka.

Campo Obligatorio u opcional para este tipo Descripción
Nombre de usuario Obligatorio El nombre de usuario de una identidad que se usa para la autenticación.
Contraseña Obligatorio La contraseña de la cuenta asociada con el nombre de usuario.
Tema Obligatorio El tema de Kafka desde el que se transfieren datos.
ID del grupo Obligatorio Un ID de grupo
Tiempo de espera Obligatorio La cantidad máxima de segundos que un marcador esperará para conectarse que se completó.

Valor predeterminado: 60
Agentes Opcional Ingresa un agente en el cuadro de texto. Por ejemplo:

broker-1:9092


Haz clic en Agregar otro para agregar otro agente.

Nota: Durante una actualización, se reemplazan todos los valores. una sola operación. Por lo tanto, para actualizar una lista de corredores y agregar un nuevo corredor, especifica todos los corredores existentes y el nuevo.
Certificado TLS Obligatorio La ruta de acceso y el nombre de archivo del certificado. Por ejemplo:

/path/to/cert.pem

Clave de certificado TLS Obligatorio La ruta de acceso y el nombre del archivo de claves del certificado. Por ejemplo:

/path/to/cert.key

Versión mínima de TLS Obligatorio La versión mínima de TLS.

Ejemplo: TLSv1_3
Omitir verificación no segura de TLS Obligatorio Habilita la verificación de la certificación SSL.

Configuración predeterminada: inhabilitada

Pcap

En esta sección, se abarcan los siguientes temas:

Usa pcap en Windows

El servidor de reenvío de Google Security Operations puede capturar paquetes directamente de una interfaz de red con Npcap en sistemas Windows.

Comunícate con el equipo de asistencia de Google Security Operations para actualizar tu archivo de configuración del servidor de reenvío de Google Security Operations para admitir la captura de paquetes.

Para ejecutar un servidor de reenvío de captura de paquetes (PCAP), necesitas lo siguiente:

  • Instala Npcap en el host de Microsoft Windows.
  • En el host de Windows, otorga la raíz o el administrador del reenviador de Google Security Operations para supervisar la interfaz de red.
  • No se necesitan opciones de línea de comandos.
  • En la instalación de Npcap, habilita el modo de compatibilidad de WinPcap.
Usa pcap en Linux

Usa el tipo de colector pcap para capturar paquetes directamente desde una red con libcap en Linux. Para obtener más información sobre libcap, consulta libcap: Página del manual de Linux

Los paquetes se capturan y se envían a Google Security Operations en lugar de entradas de registro. Paquete captura se controla solo desde una interfaz local.

Google Security Operations configura el servidor de reenvío de Google Security Operations con el filtro de paquetes de Berkeley (BPF) expresión usada al capturar paquetes (por ejemplo, el puerto 53 y no el localhost). Para obtener más información, consulta Filtros de paquetes de Berkeley.

Configuración del recopilador para pcap

Se aplican los mismos parámetros de configuración del recopilador para Linux y Windows. host.

Campo Obligatorio u opcional para este tipo Descripción
Interfaz de red Obligatorio La interfaz para escuchar los datos de PCAP.

Nota: En un host de Windows, este es el GUID de la interfaz utilizada para capturar paquetes. Para obtener este valor, ejecuta getmac.exe en la máquina donde Google Security Operations Forwarder esté instalado (ya sea el servidor o la máquina que escucha en el intervalo puerto de destino). El resultado de getmac.exe comienza con \Device\Tcpip_. Reemplázalo por \Device\NPF_.

Ejemplo:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de paquetes de Berkeley Obligatorio El filtro de paquetes de Berkeley (BPF) para pcap.

Ejemplo: udp port 53

Splunk

Usa el tipo de recopilador splunk para recopilar datos de Splunk.

Campo Obligatorio u opcional para este tipo Descripción
Nombre de usuario Obligatorio El nombre de usuario de una identidad que se usa para la autenticación.
Contraseña Obligatorio La contraseña de la cuenta identificada por el nombre de usuario.
Host Obligatorio El host o la dirección IP de la API de REST de Splunk.

Ejemplo: https://10.0.113.15
Puerto Obligatorio El puerto de la API de REST de Splunk.
Tamaño mínimo de la ventana Obligatorio El intervalo de tiempo mínimo en segundos pasados a la consulta de Splunk. Esta se usa para el ajuste si el requisito es cambiar se consulta con frecuencia el servidor de Splunk cuando el servidor de reenvío se encuentra en en un estado estable. Además, cuando hay un retraso, la llamada a la API de Splunk se puede varias veces.

Valor predeterminado: 10
Tamaño máximo de la ventana Obligatorio El intervalo de tiempo máximo en segundos pasado a la consulta de Splunk. Esta se usa para el ajuste en los casos en los que hay un retraso o si hay más se requieren datos por consulta.

Cambia este parámetro (igual a o mayor que) cuando modifiques el mínimo. Los casos de retraso pueden ocurrir si una llamada de consulta de Splunk está tardando más que el tamaño máximo de ventana.

Nota: Los intervalos de tiempo nunca se superponen cuando el valor de Splunk servidor web. El intervalo de tiempo consultado siempre está entre parámetros mínimos y máximos del período.

Valor predeterminado: 30
String de consulta Obligatorio La consulta que se usa para filtrar registros en Splunk.

Ejemplo: search index=* sourcetype=dns
Modo de consulta Obligatorio El modo de consulta de Splunk.

Ejemplo: realtime
Se ignoró el certificado Opcional Si se habilita, el certificado se ignora.

Configuración predeterminada: inhabilitada

Syslog

Usa el tipo de colector syslog para recopilar datos de syslog. Puedes configurar cualquier dispositivo o servidor que admita el envío de datos de syslog a través de TCP o UDP de Google para reenviar los datos al Forwarder de Google Security. Puedes controlar exactamente datos que el dispositivo o el servidor envía a Google Security Operations Forwarder. Forwarder de Google Security Operations puede reenviar los datos a Google Security Operations.

Campo Obligatorio u opcional para este tipo Descripción
Protocolo Obligatorio El protocolo de conexión que usará el recopilador para escuchar datos de syslog. Estos son los valores válidos:

  • TCP
  • UDP
Dirección Obligatorio Es la dirección IP de destino o el nombre de host en el que reside el recopilador. escucha datos de syslog.
Puerto Obligatorio El puerto de destino donde reside el recopilador y escucha syslog de datos no estructurados.
Tamaño del búfer Obligatorio El tamaño en bytes del búfer del socket.

El valor predeterminado para TCP es 65536.
El valor predeterminado para UDP es 8192.
Tiempo de espera de la conexión Obligatorio La cantidad de segundos de inactividad luego de los cuales se realiza la conexión TCP por lo que se descarta.

Valor predeterminado: 60
Certificado TLS Obligatorio La ruta de acceso y el nombre de archivo del certificado. Por ejemplo:

/path/to/cert.pem

Clave de certificado TLS Obligatorio La ruta de acceso y el nombre del archivo de claves del certificado. Por ejemplo:

/path/to/cert.key

Versión mínima de TLS Obligatorio La versión mínima de TLS.

Ejemplo: TLSv1_3
Omitir verificación no segura de TLS Obligatorio Habilita la verificación de la certificación SSL.

Configuración predeterminada: inhabilitada

WebProxy

Además de especificar los valores de campo para Google SecOps Forwarder en Windows, instala la biblioteca Npcap en la máquina o dispositivo de Windows. Esto no es necesario para Google SecOps Forwarder en sistemas Linux.

Campo Obligatorio u opcional para este tipo Descripción
Interfaz de red Obligatorio La interfaz que se detecta para los datos de proxy web.
Filtro de paquetes de Berkeley Obligatorio El filtro de paquetes de Berkeley (BPF) para el proxy web

Ejemplo: udp port 53

Soluciona problemas

El servidor de reenvío no recibe los datos del syslog

Asegúrate de que la configuración de syslog del colector esté establecida para usar el protocolo de conexión correcto (TCP o UDP) para los datos entrantes. Para obtener más información, consulta Edita un recopilador.