Gestisci le configurazioni dello strumento di inoltro tramite l'UI di Google Security Operations

Questa pagina descrive come creare, gestire e scaricare le configurazioni dell'inoltro utilizzando l'interfaccia utente (UI) di Google Security Operations. Puoi anche eseguire queste attività in modo programmatico utilizzando API Forwarder Management.

Convenzioni di denominazione

In questo documento vengono utilizzate le seguenti convenzioni di denominazione:

  • Google Security Operations Forwarder: il componente software di cui è stato eseguito il deployment.
  • forwarder: il nome breve di una configurazione di inoltro se è archiviata nell'istanza di Google Security Operations.
  • collector: il nome breve di una configurazione del raccoglitore quando è archiviata nell'istanza di Google Security Operations.

Aggiungi inoltro

L'aggiunta di un forwarding è il primo passaggio della configurazione di Google Security Operations Forwarder. L'aggiunta di un server di inoltro ti consente di:

  • Assegna un nome a una configurazione di forwarding.
  • Specifica i valori di configurazione dello strumento di inoltro.

L'aggiunta di un nuovo utente di inoltro crea una configurazione di inoltro parzialmente completa. A la configurazione dello strumento di inoltro, aggiungi un raccoglitore. Dopo aver aggiunto almeno un raccoglitore, puoi scaricare il server di inoltro e implementarla su una macchina o un dispositivo in cui Google Security Operations Forwarder installato.

Anziché aggiungere un nuovo utente di inoltro, puoi clonare uno o più server di inoltro esistenti spedizionieri. Per maggiori dettagli, vedi Clona gli utenti che effettuano l'inoltro.

Per aggiungere un nuovo inoltro, procedi nel seguente modo:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder.
  3. Fai clic su Aggiungi nuovo inoltro.
  4. Nel campo Nome forwarding, digita un nome.

  5. (Facoltativo) Espandi la sezione Valori di configurazione e specifica uno dei seguenti attributi:

    • Carica compressione: seleziona per comprimere i dati di log prima che siano è stato caricato in Google Security Operations. Il valore predefinito è No. Per maggiori dettagli sui dati compressione, consulta Compressione dei caricamenti.
    • Spazio dei nomi asset: digita uno spazio dei nomi che identifichi i log raccolti da questo inoltro. Questo spazio dei nomi verrà applicato a tutti i raccoglitori aggiunti a questo forwarding, a meno che non specifichi uno spazio dei nomi per un raccoglitore a livello di raccoglitore. Se specifichi uno spazio dei nomi sia a livello di forwarding che a livello di raccoglitore, viene utilizzato lo spazio dei nomi del raccoglitore al posto dello spazio dei nomi del server di inoltro per i log di quel raccoglitore. Per saperne di più sugli spazi dei nomi degli asset, consulta Spazi dei nomi degli asset.
    • Chiave di etichetta e Valore etichetta:digita una chiave e un valore, Se vuoi, puoi anche fare clic su Aggiungi nuova etichetta per aggiungere una o più etichette aggiuntive coppie chiave-valore. Si tratta di un'impostazione globale che si applica a chi invia e i raccoglitori dello strumento di inoltro, a meno che non venga eseguito l'override a livello del raccoglitore. Per maggiori dettagli, vedi Etichette.
    • Descrizione filtro, Espressione regolare e Comportamento filtro: Aggiungi filtri che filtrano i log in base all'espressione regolare (sintassi RE2) crea corrispondenze con ogni riga in entrata del log non elaborato. Il Comportamento filtro determina se allow o block la riga in arrivo su una corrispondenza. Per impostazione predefinita, incluso quando il comportamento del filtro è unspecified, il valore il comportamento di una corrispondenza è block alla riga in arrivo e poi continua per valutare una corrispondenza nella riga successiva. Per ulteriori informazioni, vedi Filtri basati su espressioni regolari:

  6. (Solo raccolta Syslog) (Facoltativo) Attiva/disattiva Impostazioni server configurare il server HTTP integrato del server di inoltro, che può essere utilizzato per configurare il bilanciamento del carico e le opzioni di alta disponibilità per syslog su Linux. Per maggiori dettagli su queste impostazioni, vedi Impostazioni del server HTTP per la raccolta di syslog.

  7. Fai clic su Invia.

    L'inoltro viene aggiunto e viene visualizzata la finestra Aggiungi configurazione raccoglitore.

  8. Nel campo Nome raccoglitore, digita un nome.

  9. Fai clic sul campo Tipo di log per visualizzare un elenco dei tipi di log ed esegui una delle le seguenti:

    • Se il tipo di log che cerchi non è presente, inizia a digitarne il nome nella per visualizzare altri suggerimenti. Per un elenco completo dei tipi di log supportati, vedi Set di dati supportati.
    • Seleziona un tipo di log dall'elenco.

  10. (Facoltativo) Espandi la sezione Valori di configurazione e specifica eventuali dei seguenti:

    • Spazio dei nomi asset: digita uno spazio dei nomi che identifichi i log raccolti da questo raccoglitore. Se per un raccoglitore viene specificato uno spazio dei nomi, viene utilizzato lo spazio dei nomi del raccoglitore al posto dello spazio dei nomi del server di inoltro i log del raccoglitore. Per ulteriori informazioni sugli spazi dei nomi degli asset, vedi Spazi dei nomi degli asset.
    • Chiave di etichetta e Valore etichetta:digita una chiave e un valore, Se vuoi, puoi anche fare clic su Aggiungi un'altra per aggiungere un'altra o più etichette coppie chiave-valore. Per i log di questo raccoglitore, questa impostazione sostituisce le etichette specificato a livello di inoltro. Per maggiori dettagli, vedi Etichette.
    • Descrizione filtro, Espressione regolare e Comportamento filtro: Aggiungi filtri che filtrano i log in base all'espressione regolare (sintassi RE2) per ogni riga in entrata del log non elaborato. Il comportamento del filtro determina se allow o block la riga in arrivo in caso di corrispondenza. Per impostazione predefinita, incluso quando il comportamento del filtro è unspecified, il valore il comportamento di una corrispondenza è block alla riga in arrivo e poi continua per valutare una corrispondenza nella riga successiva. Per ulteriori informazioni, vedi Filtri basati su espressioni regolari:

  11. (Facoltativo) Espandi la sezione Impostazioni avanzate e specifica una delle seguenti opzioni: le seguenti:

    • Numero massimo di secondi per batch: il numero di secondi tra i batch. La Il valore predefinito è 10.
    • Max byte per batch: il numero di byte in coda prima dell'inoltro e un caricamento in gruppo. Il valore predefinito è 1048576.

  12. (Facoltativo) Buffer del disco: imposta l'opzione su on per abilitare il disco per il raccoglitore. Per maggiori dettagli sul buffering del disco, vedi Buffering del disco. Quando questa opzione è abilitata, puoi specificare le seguenti impostazioni:

    • Percorso directory:il percorso della directory per i file scritti.
    • Max byte del buffer di file: la dimensione massima del disco utilizzata dal raccoglitore prima che i messaggi in backlog vengano inseriti nel buffer sul disco. Il valore predefinito è 1073741824. Il numero massimo è 4294967296.

  13. Fai clic sul campo Tipo di raccoglitore e seleziona un tipo di raccoglitore. Ciascuna ha le proprie impostazioni che puoi configurare. Per maggiori dettagli sui tipi di raccoglitore e sulle relative impostazioni, consulta Impostazioni del tipo di raccoglitore.

  14. Fai clic su Invia.

Aggiungi raccoglitori

Puoi aggiungere uno o più raccoglitori a un forwarding esistente.

L'aggiunta di un raccoglitore ti consente di:

  • Assegna un nome al raccoglitore.
  • Specifica il tipo di log da raccogliere, ad esempio Pan Firewall, Cisco ASA firewall e altro ancora.
  • Specifica il tipo di raccoglitore: File, Kafka, PCAP, Splunk, Syslog o WebProxy.
  • Specifica i valori di configurazione del raccoglitore.

Dopo aver aggiunto almeno un raccoglitore a un forwarding, puoi scaricare di inoltro e distribuirla su una macchina o un dispositivo in cui Google Security Operations Forwarder installato.

Per aggiungere un nuovo raccoglitore a un server di inoltro, procedi nel seguente modo:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder.
  3. Nella pagina Forwarder, trova quello che ti interessa. Se l'elenco inoltro sia lunga, utilizza il campo Cerca.
  4. Tieni il puntatore sopra lo strumento di inoltro per cui vuoi aggiungere un raccoglitore. Viene visualizzata l'icona del menu Espandi .
  5. Fai clic sull'icona del menu Espandi .
  6. Scegli Aggiungi nuovo raccoglitore.
  7. Nel campo Nome raccoglitore, digita un nome.

  8. Fai clic sul campo Tipo di log per visualizzare un elenco dei tipi di log ed esegui una delle le seguenti:

    • Se il tipo di log che cerchi non è presente, inizia a digitarne il nome nella per visualizzare altri suggerimenti. Per un elenco completo dei tipi di log supportati, vedi Set di dati supportati.
    • Seleziona un tipo di log dall'elenco.

  9. (Facoltativo) Espandi la sezione Valori di configurazione e specifica eventuali dei seguenti:

    • Spazio dei nomi asset: digita uno spazio dei nomi che identifichi i log raccolti da questo raccoglitore. Se per un raccoglitore viene specificato uno spazio dei nomi, viene utilizzato lo spazio dei nomi del raccoglitore al posto dello spazio dei nomi del server di inoltro i log del raccoglitore. Per ulteriori informazioni sugli spazi dei nomi degli asset, vedi Spazi dei nomi degli asset.
    • Chiave di etichetta e Valore etichetta:digita una chiave e un valore, Se vuoi, puoi anche fare clic su Aggiungi un'altra per aggiungere un'altra o più etichette coppie chiave-valore. Per i log di questo raccoglitore, questa impostazione sostituisce le etichette specificato a livello di inoltro. Per maggiori dettagli, vedi Etichette.
    • Descrizione filtro, Espressione regolare e Comportamento filtro: Aggiungi filtri che filtrano i log in base all'espressione regolare (sintassi RE2) per ogni riga in entrata del log non elaborato. Il comportamento del filtro determina se allow o block la riga in arrivo in caso di corrispondenza. Per impostazione predefinita, incluso quando il comportamento del filtro è unspecified, il valore il comportamento di una corrispondenza è block alla riga in arrivo e poi continua per valutare una corrispondenza nella riga successiva. Per ulteriori informazioni, vedi Filtri basati su espressioni regolari:

  10. (Facoltativo) Espandi la sezione Impostazioni avanzate e specifica una delle seguenti opzioni: le seguenti:

    • Numero massimo di secondi per batch: il numero di secondi tra i batch. La Il valore predefinito è 10.
    • Max byte per batch: il numero di byte in coda prima dell'inoltro e un caricamento in gruppo. Il valore predefinito è 1048576.

  11. (Facoltativo) Buffer del disco: imposta l'opzione su on per abilitare il disco per il raccoglitore. Per maggiori dettagli sul buffering del disco, vedi Buffering del disco. Quando questa opzione è abilitata, puoi specificare le seguenti impostazioni:

    • Percorso directory:il percorso della directory per i file scritti.
    • Max byte del buffer di file: la dimensione massima del disco utilizzata dal raccoglitore prima che i messaggi in backlog vengano inseriti nel buffer sul disco. Il valore predefinito è 1073741824. Il numero massimo è 4294967296.

  12. Fai clic sul campo Tipo di raccoglitore e seleziona un tipo di raccoglitore. Ciascuna ha le proprie impostazioni che puoi configurare. Per maggiori dettagli sui tipi di raccoglitore e sulle relative impostazioni, consulta Impostazioni del tipo di raccoglitore.

  13. Fai clic su Invia.

Gestisci inoltro

Elenca gli utenti che effettuano l'inoltro in un'istanza di Google Security Operations

Per elencare gli forwarding in un'istanza di Google Security Operations, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.
  3. (Facoltativo) Ordina l'elenco facendo clic sulla colonna Nome o Ultimo aggiornamento.

Facoltativamente, utilizza il campo di ricerca per restringere i risultati dell'elenco.

Inoltratori di cloni

La clonazione consente di creare una copia di una o più configurazioni di inoltro.

Per clonare gli forwarding, segui questi passaggi:

  1. Nella pagina Forwarder (Forwarder), seleziona la casella di controllo per ogni dispositivo di inoltro che vuoi clonare.

  2. Fai clic sull'icona del menu Espandi .

  3. Seleziona Clona elementi selezionati.

  4. Fai clic su Clona. Viene aggiunta una copia di ogni utente che effettua l'inoltro.

Modifica una configurazione di inoltro

Per modificare la configurazione di uno strumento di inoltro, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Tieni il puntatore sopra lo strumento di inoltro di cui vuoi modificare la configurazione. Viene visualizzata l'icona del menu Espandi .

  4. Fai clic sull'icona del menu Espandi .

  5. Scegli Modifica configurazione inoltro.

  6. Apporta le modifiche alla configurazione. Per ulteriori informazioni, consulta i passaggi di configurazione nella procedura per l'aggiunta di forwarding.

  7. Fai clic su Invia.

Elimina inoltro

Per eliminare gli utenti che effettuano l'inoltro, segui questi passaggi:

  1. Nella pagina Forwarder, seleziona la casella di controllo per ogni inoltro che vuoi eliminare.

  2. Fai clic sull'icona del menu Espandi .

  3. Seleziona Elimina elementi selezionati.

  4. Fai clic su Elimina elementi selezionati.

Gestisci raccoglitori

Elenca i raccoglitori in un'istanza di Google Security Operations

Per elencare i raccoglitori in un'istanza di Google Security Operations:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.
  3. Fai clic sulla freccia di espansione accanto all'intestazione della colonna Nome. In questo modo, vengono ampliati tutti gli spedizionieri, con fino a cinque raccoglitori per ciascuno di questi.
  4. Se un utente di inoltro ha più di cinque raccoglitori, fai clic sul link Visualizza tutti i raccoglitori.

Modifica la configurazione di un raccoglitore

Per modificare la configurazione di un raccoglitore, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Fai clic sulla freccia di espansione del server di inoltro per cui vuoi modificare un raccoglitore.

  4. Se sono presenti più di cinque raccoglitori, fai clic sul link Vedi tutti i raccoglitori.

  5. Posiziona il puntatore sul raccoglitore per il quale vuoi modificare la configurazione. Viene visualizzato il link Modifica.

  6. Fai clic su Modifica.

  7. Apporta le modifiche alla configurazione. Per ulteriori informazioni, consulta i passaggi di configurazione nella procedura per l'aggiunta di raccoglitori.

  8. Fai clic su Invia.

Elimina un raccoglitore

Per eliminare un raccoglitore, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Fai clic sulla freccia di espansione del server di inoltro per il quale vuoi eliminare un raccoglitore.

  4. Se sono presenti più di cinque raccoglitori, fai clic sul link Vedi tutti i raccoglitori.

  5. Posiziona il puntatore sul raccoglitore per il quale vuoi modificare la configurazione. Viene visualizzato il link Elimina.

  6. Fai clic sul link Elimina.

  7. Per confermare, fai clic sul pulsante Elimina.

Scarica i file di configurazione

Per scaricare un server di inoltro è necessario almeno un raccoglitore. Se provi a scaricare un forwarding senza un raccoglitore, verrà visualizzato un errore.

Puoi scaricare il file di configurazione dell'inoltro (.conf), il file di autenticazione (_auth.conf) o entrambi per qualsiasi utente che esegue l'inoltro elencato nella tua istanza di Google Security Operations, purché abbia almeno un raccoglitore. Dopo aver scaricato i file, dovrai implementarli sul sistema Windows o Linux in cui si trova Google Security Operations Forwarder.

Per scaricare i file di configurazione dello strumento di inoltro:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Nella pagina Forwarder, trova quello che ti interessa. Se l'elenco inoltro sia lunga, utilizza il campo Cerca.

  4. Tieni il puntatore sopra lo strumento di inoltro per il quale vuoi scaricare i file di configurazione. Viene visualizzata l'icona del menu Espandi .

  5. Fai clic sull'icona del menu Espandi .

  6. Scegli Scarica.

  7. Nella finestra di dialogo Scarica configurazione inoltro, esegui una delle seguenti operazioni:

    • Per scaricare il file di configurazione dell'inoltro, fai clic sull'icona di download accanto al tipo di file .conf.
    • Per scaricare il file di autenticazione dell'inoltro, fai clic sull'icona di download accanto al tipo di file _auth.conf.
    • Per scaricare entrambi i file, fai clic su Scarica tutto.

Guida di riferimento alle impostazioni di configurazione

Le configurazioni del forwarding includono uno o più raccoglitori.

Puoi configurare le seguenti impostazioni a livello di inoltro:

Puoi configurare le seguenti impostazioni a livello di inoltro e raccoglitore. Per comprendere il risultato della configurazione dell'impostazione in entrambi i casi, livelli, consulta la sezione per l'impostazione.

Puoi configurare le seguenti impostazioni a livello di raccoglitore:

Carica compressione

Predefinita: attiva

Puoi configurare la compressione dei caricamenti per un utente che esegue l'inoltro, ma non per un raccoglitore. Se abilitata, questa impostazione comprime i log prima che vengano caricati Google Security Operations. In questo modo si riduce il consumo di larghezza di banda di rete durante il trasferimento Google Security Operations. Tuttavia, la compressione può comportare un aumento dell'utilizzo della CPU.

Il compromesso tra larghezza di banda e utilizzo della CPU dipende da molti fattori, tra cui: tipo di dati di log, la comprimibilità di tali dati, la disponibilità di CPU cicli sull'host che esegue il forwarding e la necessità di ridurre il consumo della larghezza di banda. Ad esempio, i log basati su testo si comprimono bene e possono consentono notevoli risparmi in termini di larghezza di banda con un utilizzo ridotto della CPU. Tuttavia, i token i payload di pacchetti non elaborati non si comprimono bene e comportano un maggiore utilizzo della CPU.

Spazi dei nomi degli asset

Predefinito:il campo è vuoto se non specificato.

Puoi configurare uno spazio dei nomi degli asset per uno strumento di inoltro, un raccoglitore o entrambi. Tu puoi utilizzare uno spazio dei nomi per identificare i log di segmenti di rete distinti o eliminare i conflitti di indirizzi IP sovrapposti. Gli spazi dei nomi configurati vengono visualizzati con gli asset associati nell'interfaccia utente di Google Security Operations. Puoi anche cercare per gli spazi dei nomi utilizzando la funzionalità Google Security Operations Search.

Puoi specificare uno spazio dei nomi per un utente che esegue l'inoltro e specificare spazi dei nomi diversi per uno o più raccoglitori dello spedizioniere. Se viene specificato uno spazio dei nomi per raccoglitore, viene utilizzato lo spazio dei nomi del raccoglitore al posto del per i log di quel raccoglitore.

Per informazioni sull'utilizzo degli spazi dei nomi, consulta Spazi dei nomi degli asset.

Etichette

Predefinito:i campi sono vuoti se non sono specificati.

Puoi configurare le etichette per un server di inoltro, un raccoglitore o entrambi. Vengono utilizzate le etichette per collegare metadati arbitrari ai log utilizzando coppie chiave-valore. Le etichette possono essere configurato per un intero server di inoltro o all'interno di un raccoglitore specifico di un spedizioniere. Se vengono forniti entrambi, le etichette vengono unite alle chiavi del raccoglitore che hanno la precedenza sulle chiavi di chi effettua l'inoltro se le chiavi si sovrappongono.

Filtri basati su espressioni regolari

Predefinito:i campi sono vuoti se non sono specificati.

Puoi configurare filtri basati su espressioni regolari per un autore di inoltro, un raccoglitore entrambi. I filtri delle espressioni regolari consentono di bloccare o consentire le righe in arrivo di un elemento non elaborato corrispondente all'espressione.

I filtri utilizzano Sintassi RE2.

I filtri devono includere un'espressione regolare e, facoltativamente, definire un comportamento in caso di corrispondenza. Il comportamento predefinito per una corrispondenza è il blocco (puoi anche configurarla esplicitamente come blocco).

In alternativa, puoi specificare i filtri con il comportamento allow. Se specifichi alcun filtro di autorizzazione, il server di inoltro blocca tutti i log che non corrispondono ad almeno uno Consenti filtro.

È possibile definire un numero arbitrario di filtri. Blocca filtri la precedenza sui filtri di autorizzazione.

Quando vengono definiti, i filtri devono avere un nome. I nomi delle persone attive vengono segnalati a Google Security Operations utilizzando metriche relative allo stato di inoltro. Filtri definiti a livello di inoltro vengono uniti ai filtri definiti a livello di raccoglitore livello. In caso di nomi in conflitto, i filtri a livello di raccoglitore hanno la precedenza. Se nessun filtro è definito a livello di inoltro o raccoglitore, il comportamento è consentire tutti.

Impostazioni server HTTP per la raccolta syslog

Google Security Operations Forwarder può essere implementato in un ambiente in cui Il bilanciatore del carico di livello 4 è installato tra l'origine dati e il forwarding di Compute Engine. Ciò ti consente di distribuire la raccolta di log tra più forwardinger o inviare i log a un altro server di inoltro in caso di errore. Questo è supportata solo con il tipo di raccolta syslog.

Il server di inoltro include un server HTTP integrato che risponde a HTTP di controllo di integrità dal bilanciatore del carico. Il server HTTP aiuta inoltre a garantire che i log non vengono persi durante l'avvio o l'arresto di un forwarding.

Le impostazioni del server nelle configurazioni di inoltro supportano l'impostazione del timeout di durate e codici di stato restituiti in risposta ai controlli di integrità ricevuti in da deployment basati su orchestrazione e scheduler di container, bilanciatori del carico.

Usa i seguenti percorsi dell'URL per i controlli di integrità, idoneità e attività. La I valori <host:port> sono definiti nella configurazione dello strumento di inoltro.

  • http://<host:port>/meta/available: controlli di attività per il contenitore scheduler/orchestratori, come Kubernetes.
  • http://<host:port>/meta/ready: controlli di idoneità e caricamento tradizionale di integrità dei bilanciatori del carico.
Impostazione Descrizione
Timeout temporaneo Il periodo di tempo in cui le nuove connessioni vengono ancora accettate dopo il il forwarding restituisce uno stato non pronto in risposta a un controllo di integrità. Questo è anche il tempo di attesa tra la ricezione di un segnale e l'interruzione dando inizio all'arresto del server stesso. Ciò consente per rimuovere il forwarding dal pool.

I valori validi sono espressi in secondi. Ad esempio, per specificare 10 secondi, digita 10. Non sono consentiti valori decimali.

Predefinito:15 secondi
Timeout svuotamento Il tempo di attesa per le connessioni attive da parte dell'utente che esegue l'inoltro a chiudere autonomamente prima di essere chiusi o server web. Ad esempio, per specificare 5 secondi, digita 5. Non sono consentiti valori decimali.

Predefinito:10 secondi
Port (Porta) Il numero di porta su cui il server HTTP rimane in ascolto per i controlli di integrità dal bilanciatore del carico. Il valore deve essere compreso tra 1024 e 65535.

Predefinito: 8080
Indirizzo IP/nome host L'indirizzo IP o un nome host che può essere risolto in un indirizzo IP che il server deve ascoltare.

Predefinito: 0.0.0.0 (il sistema locale)
Timeout di lettura Utilizzato per ottimizzare il server HTTP. In genere, non deve essere modificato rispetto all'impostazione predefinita. Il tempo massimo consentito per la lettura l'intera richiesta, sia l'intestazione che il corpo. Puoi impostare entrambi Il campo timeout della lettura e l'intestazione della lettura timeout.

Predefinito:3 secondi
Timeout intestazione di lettura Utilizzato per ottimizzare il server HTTP. In genere, non deve essere modificato rispetto all'impostazione predefinita. Il tempo massimo consentito per la lettura intestazioni delle richieste. La scadenza per la lettura della connessione viene reimpostata dopo leggere l'intestazione.

Predefinito:3 secondi
Timeout scrittura Utilizzato per ottimizzare il server HTTP. In genere, non deve essere modificato rispetto all'impostazione predefinita. Il tempo massimo consentito per l'invio una risposta. Viene reimpostata quando viene letta l'intestazione di una nuova richiesta.

Predefinito:3 secondi
Timeout di inattività Utilizzato per ottimizzare il server HTTP. In genere, non deve essere modificato rispetto all'impostazione predefinita. L'intervallo di tempo massimo di attesa quando vengono abilitate le connessioni inattive. Se l'impostazione inattiva timeout è impostato su zero, il valore del parametro read Timeout. Se entrambi sono pari a zero, la timeout dell'intestazione .

Predefinito:3 secondi
Codice di stato disponibile Il codice di stato restituito dall'inoltro quando viene eseguito un controllo di attività ricevuto e il mittente è disponibile. Scheduler di container gli orchestratori, come Kubernetes, inviano spesso controlli di attività.

Predefinito:204
Codice di stato pronto Il codice di stato restituito dal mittente quando è pronto ad accettare traffico in una delle seguenti situazioni:
  • Viene ricevuto un controllo di idoneità da uno scheduler di container un agente di orchestrazione, come Kubernetes.
  • Viene ricevuto un controllo di integrità da un bilanciatore del carico tradizionale.
Predefinito:204
Codice di stato non pronto Il codice di stato restituito dal mittente quando non è pronto ad accettare per via del traffico.

Predefinito:503

Tipo di log

Per un elenco completo dei tipi di log supportati, consulta Set di dati supportati.

Buffering del disco

Il buffering del disco consente di eseguire il buffer dei messaggi in backlog sul disco, la memoria. I messaggi in backlog possono essere archiviati in caso di arresto anomalo o gli arresti anomali dell'host sottostante. Tieni presente che l'attivazione del buffering del disco può influire delle prestazioni.

Se il buffering del disco è disabilitato, il raccoglitore utilizza 1 GB di memoria (RAM) per i log raccolti. Puoi specificare il valore massimo utilizzando l'opzione Max buffer di file byte nella configurazione del raccoglitore. Questo determina la RAM massima dimensione utilizzata dal raccoglitore prima che i messaggi in backlog vengano inseriti nel buffer su disco. La il valore predefinito è 1073741824. Il numero massimo è 4294967296.

Se esegui il forwarding utilizzando Docker, Google consiglia di montare un separato da quello di configurazione ai fini dell'isolamento. Inoltre, ogni input deve essere isolato con la propria directory o volume per evitare conflitti.

Impostazioni del tipo di raccoglitore

Ogni configurazione del raccoglitore deve specificare un tipo di raccoglitore. Questa sezione descrive i tipi di raccoglitore e le relative impostazioni.

File

Utilizza il tipo di raccoglitore file per caricare i log da un singolo file di log.

Campo Campo obbligatorio o facoltativo per questo tipo Descrizione
Percorso file Obbligatorio Il percorso della directory e il nome del file. Ad esempio:

/opt/chronicle/edr/output/sample.txt

Kafka

Utilizza il tipo di raccoglitore kafka per importare dati dagli argomenti Kafka. consumer Kafka di Google Cloud vengono utilizzati per consentirti di implementare fino a tre Google Security Operations Forwarder eseguire il pull dei dati dallo stesso argomento Kafka. Per ulteriori informazioni, vedi Kafka. Per ulteriori informazioni sui gruppi di consumer Kafka, vedi Consumatore Kafka.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Nome utente Obbligatorio Il nome utente di un'identità utilizzata per l'autenticazione.
Password Obbligatorio La password dell'account associata al nome utente.
Argomento Obbligatorio L'argomento Kafka da cui importare i dati.
ID gruppo Obbligatorio Un ID gruppo.
Timeout Obbligatorio Il numero massimo di secondi di attesa prima che una chiamata si connetta completato.

Predefinito : 60
Intermediari Facoltativo Inserisci un intermediario nella casella di testo. Ad esempio:

broker-1:9092


Fai clic su Aggiungi un altro per aggiungere un altro broker.

Nota: tutti i valori vengono sostituiti durante un aggiornamento operativa. Pertanto, per aggiornare un elenco di broker in modo da aggiungere una nuova specificare tutti i broker esistenti e il nuovo broker.
Certificato TLS Obbligatorio Il percorso e il nome file del certificato. Ad esempio:

/path/to/cert.pem

Chiave del certificato TLS Obbligatorio Il percorso e il nome file della chiave del certificato. Ad esempio:

/path/to/cert.key

Versione TLS minima Obbligatorio La versione TLS minima.

Esempio: TLSv1_3
TLS non sicuro - Salta la verifica Obbligatorio Attiva la verifica della certificazione SSL.

Predefinito:disabilitato

Pcap

Questa sezione tratta i seguenti argomenti:

Utilizzare pcap su Windows

Il forwarding di Google Security Operations può acquisire i pacchetti direttamente da un'interfaccia di rete utilizzando Npcap sui sistemi Windows.

Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione dell'inoltro di Google Security Operations per supportare l'acquisizione dei pacchetti.

Per eseguire un forwarding Packet Capture (PCAP), devi disporre di quanto segue:

  • Installa Npcap sull'host Microsoft Windows.
  • Nell'host Windows, concedi a Google Security Operations l'utente root o l'amministratore per l'inoltro per monitorare l'interfaccia di rete.
  • Non sono necessarie opzioni della riga di comando.
  • Nell'installazione di Npcap, attiva la modalità di compatibilità di WinPcap.
Utilizzare pcap su Linux

Utilizza il tipo di raccoglitore pcap per acquisire i pacchetti direttamente da una rete utilizzando libcap su Linux. Per ulteriori informazioni su libcap, consulta libcap: pagina del manuale di Linux.

I pacchetti vengono acquisiti e inviati a Google Security Operations anziché le voci di log. Pacchetto l'acquisizione viene gestita solo da un'interfaccia locale.

Google Security Operations configura l'inoltro di Google Security Operations con il filtro pacchetti Berkeley (BPF) espressione utilizzata durante l'acquisizione dei pacchetti (ad esempio, porta 53 e non localhost). Per ulteriori informazioni, vedi Filtri di pacchetto Berkeley.

Impostazioni raccoglitore per pcap

Le stesse impostazioni di configurazione del raccoglitore si applicano a Linux o Windows .

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Interfaccia di rete Obbligatorio L'interfaccia per ascoltare i dati PCAP.

Nota: per un host Windows, questo è il GUID per all'interfaccia utilizzata per acquisire i pacchetti. Per ottenere questo valore, esegui getmac.exe sul computer su cui Google Security Operations Forwarder sia installato (il server o la macchina in ascolto nell'intervallo ). L'output getmac.exe inizia con \Device\Tcpip_. Sostituiscila con \Device\NPF_.

Esempio:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro pacchetti Berkeley Obbligatorio Il Berkeley Packet Filtro (BPF) per pcap.

Esempio: udp port 53

Splunk

Utilizza il tipo di raccoglitore splunk per raccogliere dati Splunk.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Nome utente Obbligatorio Il nome utente di un'identità utilizzata per l'autenticazione.
Password Obbligatorio La password dell'account identificato dal nome utente.
Host Obbligatorio L'host o l'indirizzo IP dell'API REST Splunk.

Esempio: https://10.0.113.15
Porta Obbligatorio La porta dell'API REST Splunk.
Dimensioni minime della finestra Obbligatorio L'intervallo di tempo minimo in secondi passato alla query Splunk. Questo parametro viene utilizzato per l'ottimizzazione se il requisito è modificare il modo spesso vengono eseguite query sul server Splunk quando l'utente di inoltro è in stabile. Inoltre, in caso di ritardo, la chiamata API Splunk può essere fatto più volte.

Predefinito:10
Dimensione massima della finestra Obbligatorio L'intervallo di tempo massimo in secondi passato alla query Splunk. Questo viene utilizzato per l'ottimizzazione nei casi in cui si verifichi un ritardo o sono richiesti i dati per query.

Modifica questo parametro (uguale a o maggiore di) quando modifichi il valore il parametro minimo. Possono verificarsi casi di ritardo se la chiamata a una query Splunk viene e potrebbe richiedere più tempo rispetto alla dimensione massima della finestra.

Nota: gli intervalli di tempo non si sovrappongono mai quando lo Splunk viene eseguita una query sul server. L'intervallo di tempo su cui viene eseguita la query è sempre compreso tra i parametri minimo e massimo della finestra.

Predefinito:30
Stringa di query Obbligatorio La query utilizzata per filtrare i record all'interno di Splunk.

Esempio: search index=* sourcetype=dns
Modalità query Obbligatorio La modalità di query per Splunk.

Esempio: realtime
Certificato ignorato Facoltativo Se abilitato, il certificato viene ignorato.

Predefinito:disabilitato

Syslog

Utilizza il tipo di raccoglitore syslog per raccogliere i dati di syslog. Puoi configurare qualsiasi appliance o server che supporta l'invio di dati syslog tramite TCP o UDP per inoltrare i relativi dati a Google Security Operations Forwarder. Puoi controllare lo stato i dati che l'appliance o il server invia a Google Security Operations Forwarder. Forwarder delle operazioni di sicurezza di Google potrà quindi inoltrare i dati a Google Security Operations.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Protocollo Obbligatorio Il protocollo di connessione che il raccoglitore utilizzerà per ascoltare i dati di syslog. I valori validi sono:

  • TCP
  • UDP
Indirizzo Obbligatorio L'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e rimane in ascolto dei dati syslog.
Porta Obbligatorio La porta di destinazione in cui si trova il raccoglitore e rimane in ascolto di syslog e i dati di Google Cloud.
Dimensione del buffer Obbligatorio La dimensione in byte del buffer del socket.

Il valore predefinito per TCP è 65536.
Il valore predefinito per UDP è 8192.
Timeout connessione Obbligatorio Il numero di secondi di inattività dopo i quali la connessione TCP viene è caduto.

Predefinito:60
Certificato TLS Obbligatorio Il percorso e il nome file del certificato. Ad esempio:

/path/to/cert.pem

Chiave del certificato TLS Obbligatorio Il percorso e il nome file della chiave del certificato. Ad esempio:

/path/to/cert.key

Versione TLS minima Obbligatorio La versione TLS minima.

Esempio: TLSv1_3
TLS non sicuro - Salta la verifica Obbligatorio Attiva la verifica della certificazione SSL.

Predefinito:disabilitato

WebProxy

Oltre a specificare i valori dei campi per Google SecOps Forwarder su Windows, installa la libreria Npcap sul computer o sul dispositivo Windows. Questa operazione non è necessaria per Google SecOps Forwarder su sistemi Linux.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Interfaccia di rete Obbligatorio L'interfaccia per ascoltare i dati del proxy web.
Filtro pacchetti Berkeley Obbligatorio Il Berkeley Packet Filtro (BPF) per il proxy web.

Esempio: udp port 53

Risoluzione dei problemi

Dati syslog non ricevuti dall'utente che esegue l'inoltro

Assicurati che le impostazioni syslog del raccoglitore siano configurate in modo da utilizzare il protocollo di connessione corretto (TCP o UDP) per i dati in entrata. Per saperne di più, consulta Modificare un raccoglitore.