通过界面管理转发器配置

本页面介绍了如何使用 Google SecOps 界面 (UI) 创建、管理和下载转发器配置。

转发器配置过程分为两个步骤：

1. 添加转发器配置：这会为您的配置建立框架。
2. 添加收集器配置：此配置定义了转发器将注入的数据源。如果没有至少一个收集器，转发器将没有任何数据可供处理。

添加一个或多个收集器后，转发器配置即完成。然后，您可以下载该文件，并将其部署到安装了转发器软件的机器或设备上。

如需了解如何安装和配置 Google SecOps 转发器、系统要求以及配置设置的详细信息，请参阅安装和配置转发器。

添加转发器配置

您可以克隆一个或多个现有转发器，而无需添加新的转发器。如需了解详情，请参阅克隆转发器。

如需添加新的转发器，请按以下步骤操作：

1. 在导航栏中，点击设置。
2. 在设置下方，点击转发器。
3. 点击添加新转发器。
4. 在 Forwarder name 字段中，输入一个名称。

5. 可选：展开配置值部分，然后指定相应的值。如需了解配置设置，请参阅确定配置。

6. 点击提交。

   转发器已添加，系统会显示 Add collector configuration 窗口。

添加收集器配置

您可以向现有转发器添加一个或多个收集器。如需向转发器添加新的收集器，请按照以下步骤操作：

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。
3. 在转发器页面上，找到所需的转发器。如果转发者的列表很长，请使用搜索字段。
4. 将指针悬停在要为其添加收集器的转发器上。系统会显示 more_vert 展开菜单图标。
5. 点击more_vert 展开菜单图标。
6. 选择添加新收集器。
7. 在收集器名称字段中，输入一个名称。

8. 点击日志类型字段以查看日志类型列表，然后执行以下操作之一：

   • 如果您未看到所需的日志类型，请在框中开始输入其名称，以查看更多建议。如需查看支持的日志类型的完整列表，请参阅支持的数据集。
   • 从列表中选择日志类型。

9. 可选：展开配置值部分，然后指定相应的值。如需了解配置设置，请参阅确定配置。

10. 可选：展开高级设置部分，然后指定以下任意设置：

    • 每个批次的秒数上限：批次之间的秒数。默认值为 10。
    • 每个批次的最大字节数：在转发器批量上传之前已排队的字节数。最小值为 204800 bytes，即 200 KB。 最大值为 1048576 bytes，即 1MB。默认值为 1,048,576 bytes，即 1MB。

11. 建议：磁盘缓冲区：点击切换开关，将其切换到开启位置，以启用收集器的磁盘缓冲。如需详细了解磁盘缓冲，请参阅磁盘缓冲。 启用后，您可以指定以下设置：

    • 目录路径：写入文件的目录路径。
    • 缓冲文件的大小上限（以字节为单位）：将积压的消息缓冲到磁盘之前，收集器使用的磁盘大小上限。默认值为 1,073,741,824。上限为 4,294,967,296。

12. 可选：替换时区：点击相应开关将其切换到开启位置，然后从时区列表中选择自定义时区，以替换日志的默认时区。 仅当原始日志在源处不包含正确的时区时，才需启用此设置。在启用此设置之前，请确保日志中的时间戳具有一致的格式。

    所选时区将在 Google SecOps 的服务器端应用。即使生成的配置文件包含此设置，转发器也会忽略它。

13. 点击收集器类型字段，然后选择收集器类型。每种收集器类型都有自己的设置，您可以进行配置。如需详细了解收集器类型及其设置，请参阅确定配置。

14. 点击提交。

下载配置文件

下载转发器配置文件需要至少一个收集器。如果您尝试在没有收集器的情况下下载转发器，则会收到错误。

只要 Google SecOps 实例中列出的转发器至少有一个收集器，您就可以下载该转发器的转发器配置 (.conf) 文件、身份验证 (_auth.conf) 文件或同时下载这两者。下载文件后，将其部署在 Google SecOps 转发器所在的 Windows 或 Linux 系统上。

如需下载转发器配置文件，请执行以下操作：

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。该页面会显示转发器列表。

3. 在转发器页面上，找到所需的转发器。如果转发者的列表很长，请使用搜索字段。

4. 将指针悬停在要下载配置文件的转发器上。系统会显示 more_vert 展开菜单图标。

5. 点击more_vert 展开菜单图标。

6. 选择下载。

7. 在下载转发器配置对话框中，执行以下操作之一：

   • 如需下载转发器配置文件，请点击 .conf 文件类型旁边的下载图标。
   • 如需下载转发器身份验证文件，请点击 _auth.conf 文件类型旁边的下载图标。
   • 如需下载这两个文件，请点击全部下载。

管理转发者

本部分介绍了如何查看和管理转发器。

列出 Google SecOps 实例中的转发器

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。该页面会显示转发器列表。
3. 可选：点击名称或上次更新时间列，按相应列对列表进行排序。

（可选）使用搜索字段来缩小列表中的结果范围。

克隆转发器

通过克隆，您可以创建一个或多个转发器配置的副本。

如需克隆转发器配置，请按以下步骤操作：

1. 在“转发器”页面上，选中要克隆的每个转发器对应的复选框。

2. 点击more_vert 展开菜单图标。

3. 选择克隆。

4. 点击克隆。系统会添加每个转发器配置的副本。

修改转发器配置

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。该页面会显示转发器列表。

3. 将指针悬停在要修改配置的转发器上。系统会显示 more_vert 展开菜单图标。

4. 点击more_vert 展开菜单图标。

5. 选择修改转发器配置。

6. 对配置进行更改。如需了解详情，请参阅添加转发器的流程中的配置步骤。

7. 点击更新。

删除转发器

1. 在“转发器”页面上，选中要删除的每个转发器对应的复选框。

2. 点击more_vert 展开菜单图标。

3. 选择删除。

4. 在“删除转发器”对话框中，点击删除。

管理收集器

本部分介绍了如何查看和管理收集器。

列出 Google SecOps 实例中的收集器

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。该页面会显示转发器列表。
3. 点击名称列标题旁边的展开箭头。此操作会展开所有转发器，并显示每个转发器最多五个收集器。
4. 如果转发器有五个以上的收集器，请点击查看所有收集器链接。

修改收集器配置

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。该页面会显示转发器列表。

3. 点击要修改收集器的转发器的 arrow_right 展开箭头。

4. 如果收集方超过 5 个，请点击查看所有收集方链接。

5. 将指针悬停在要修改配置的收集器上。系统会显示修改选项。

6. 点击修改。

7. 对配置进行更改。如需了解详情，请参阅添加收集器的流程中的配置步骤。

8. 点击更新。

删除收集器

1. 在导航栏中，点击设置。
2. 在“设置”下方，点击转发器。该页面会显示转发器列表。

3. 点击要删除收集器的转发器的arrow_right展开箭头。

4. 如果收集方超过 5 个，请点击查看所有收集方链接。

5. 将指针悬停在要修改配置的收集器上。系统会显示删除选项。

6. 点击删除。

7. 如需确认，请在“删除收集器”对话框中点击删除。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。