通过 Google Security Operations 界面管理转发器配置
本页面介绍了如何创建、管理和下载转发器配置 使用 Google Security Operations 界面 (UI)。您也可以使用 Forwarder Management API。
命名规则
本文档使用以下命名惯例:
- Google Security Operations Forwarder:已部署的软件组件。
- forwarder:转发器配置的简称(存储在 Google Security Operations 实例中)。
- collector:存储在 Google Security Operations 实例中的收集器配置的简称。
添加转发器
添加转发器是配置 Google Security Operations 转发器的第一步。 通过添加转发器,您可以执行以下操作:
- 为转发器配置命名。
- 指定转发器配置值。
添加新的转发器会创建部分完整的转发器配置。接收者 完成转发器配置后,您需要 添加收集器。 添加至少一个收集器后,您可以下载转发器 并将其部署到安装了 Google Security Operations Forwarder 的机器或设备上 已安装。
除了添加新的转发器,您还可以克隆一个或多个现有转发器, 。有关详情,请参阅 克隆转发器。
如需添加新的转发器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。
- 点击添加新的转发器。
- 在转发器名称字段中,输入一个名称。
可选:展开配置值部分,然后指定以下任意项:
- 上传压缩:选择是可在应用数据之前 并上传到 Google Security Operations 中。默认值为 No。详细了解数据 请参见 压缩上传内容。
- 资产命名空间:输入用于标识 由该转发器收集除非您在收集器级别为收集器指定命名空间,否则此命名空间将应用于添加到此转发器的所有收集器。如果您同时在转发器级别和收集器级别指定命名空间,则对于来自该收集器的日志,将使用收集器的命名空间,而不是转发器的命名空间。如需详细了解资产命名空间,请参阅资产命名空间。
- 标签键和标签值:输入键和值。如果需要 您也可以点击添加新标签以添加一个或多个其他标签 键值对。这是一个全局设置,适用于转发器和 转发器的收集器,除非它在收集器级别被替换。 有关详情,请参阅 标签。
- 过滤器说明、正则表达式和过滤器行为:
添加根据正则表达式过滤日志的过滤条件
(RE2 语法)与原始日志的每个传入行进行匹配。过滤器行为决定了在匹配后对传入行执行
allow操作还是block操作。 默认情况下(包括过滤器行为为unspecified时), 匹配时的行为是block传入行,然后继续 评估下一行是否匹配。如需了解详情,请参阅 正则表达式过滤器。
(仅限 Syslog 收集)可选:将服务器设置切换为 配置转发器的内置 HTTP 服务器 为 syslog 配置负载均衡和高可用性选项 这个集合有关这些设置的详细信息,请参阅 针对 syslog 收集的 HTTP 服务器设置。
点击提交。
添加转发器,并显示 Add 收集器配置窗口。
在收集器名称字段中,输入一个名称。
点击日志类型字段以查看日志类型列表,并执行以下其中一项操作 以下:
- 如果您没有看到所需的日志类型,请在 以查看更多建议。如需查看所支持日志类型的完整列表, 请参阅 支持的数据集。
- 从列表中选择日志类型。
可选:展开配置值部分,并指定任意值 以下项:
- 资产命名空间:输入用于标识 收集的所有信息如果为收集器指定了命名空间 对于 收集来自该收集器的日志如需详细了解资产命名空间 请参阅 资产命名空间。
- 标签键和标签值:输入键和值。如果需要 您也可以点击添加其他标签来添加一个或多个其他标签 键值对。对于此收集器的日志,此设置会覆盖标签 在转发器级别指定的。有关详情,请参阅 标签。
- 过滤器说明、正则表达式和过滤器行为:
添加根据正则表达式过滤日志的过滤条件
(RE2 语法)
与原始日志的每个传入行进行匹配。过滤器行为决定了在匹配后对传入行执行
allow操作还是block操作。 默认情况下(包括过滤器行为为unspecified时), 匹配时的行为是block传入行,然后继续 评估下一行是否匹配。如需了解详情,请参阅 正则表达式过滤器。
可选:展开高级设置部分,然后指定以下任意项 以下:
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
10。 - 每批字节数上限:在转发器之前排队的字节数
批量上传默认值为
1048576。
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
可选:磁盘缓冲区:将切换开关设置为开启以启用磁盘 收集器正在缓冲数据如需详细了解磁盘缓冲, 请参阅磁盘缓冲。 启用后,您可以指定以下设置:
- Directory path:写入的文件的目录路径。
- 最大文件缓冲区字节数:收集器使用的磁盘大小上限
在将积压消息缓冲到磁盘之前。默认值为
1073741824。上限为4294967296个。
点击收集器类型字段,然后选择收集器类型。每个 收集器类型有自己的设置供您配置了解详情 收集器类型及其设置,请参阅 收集器类型设置。
点击提交。
添加收集器
您可以向现有转发器添加一个或多个收集器。
通过添加收集器,您可以执行以下操作:
- 为收集器命名。
- 指定要收集的日志类型,例如 Pan Firewall、Cisco ASA 防火墙等
- 指定收集器类型:File、Kafka、PCAP、Splunk、Syslog 或 WebProxy。
- 指定收集器配置值。
在向转发器添加至少一个收集器后,您可以下载 转发器配置,并将其部署在 Google Security Operations 所在的机器或设备上 已安装转发器。
如需向转发器添加新的收集器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。
- 在转发器页面上,找到所需的转发器。如果 转发器较长,请使用搜索字段。
- 将指针悬停在要为其添加收集器的转发器上。系统随即会显示 展开菜单图标。
- 点击 展开菜单图标。
- 选择添加新收集器。
- 在收集器名称字段中,输入一个名称。
点击日志类型字段以查看日志类型列表,并执行以下其中一项操作 以下:
- 如果您没有看到所需的日志类型,请在 以查看更多建议。如需查看所支持日志类型的完整列表, 请参阅 支持的数据集。
- 从列表中选择日志类型。
可选:展开配置值部分,并指定任意值 以下项:
- 资产命名空间:输入用于标识 收集的所有信息如果为收集器指定了命名空间 对于 收集来自该收集器的日志如需详细了解资产命名空间 请参阅 资产命名空间。
- 标签键和标签值:输入键和值。如果需要 您也可以点击添加其他标签来添加一个或多个其他标签 键值对。对于此收集器的日志,此设置会覆盖标签 在转发器级别指定的。有关详情,请参阅 标签。
- 过滤器说明、正则表达式和过滤器行为:
添加根据正则表达式过滤日志的过滤条件
(RE2 语法)
与原始日志的每个传入行进行匹配。过滤器行为决定了在匹配后对传入行执行
allow操作还是block操作。 默认情况下(包括过滤器行为为unspecified时), 匹配时的行为是block传入行,然后继续 评估下一行是否匹配。如需了解详情,请参阅 正则表达式过滤器。
可选:展开高级设置部分,然后指定以下任意项 以下:
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
10。 - 每批字节数上限:在转发器之前排队的字节数
批量上传默认值为
1048576。
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
可选:磁盘缓冲区:将切换开关设置为开启以启用磁盘 收集器正在缓冲数据如需详细了解磁盘缓冲, 请参阅磁盘缓冲。 启用后,您可以指定以下设置:
- Directory path:写入的文件的目录路径。
- 最大文件缓冲区字节数:收集器使用的磁盘大小上限
在将积压消息缓冲到磁盘之前。默认值为
1073741824。上限为4294967296个。
点击收集器类型字段,然后选择收集器类型。每个 收集器类型有自己的设置供您配置了解详情 收集器类型及其设置,请参阅 收集器类型设置。
点击提交。
管理转发器
列出 Google Security Operations 实例中的转发器
如需列出 Google Security Operations 实例中的转发器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
- 可选:点击名称或上次更新时间列,对列表进行排序。
(可选)使用搜索字段缩小列表中的结果范围。
克隆转发器
通过克隆,您可以创建一个或多个转发器配置的副本。
如需克隆转发器,请按以下步骤操作:
在“转发器”页面上,选中您要克隆的每个转发器对应的复选框。
点击 展开菜单图标。
选择克隆所选内容。
点击 Clone。系统会添加每个转发器的副本。
修改转发器配置
如需修改转发器配置,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
将指针悬停在要修改配置的转发器上。系统随即会显示 展开菜单图标。
点击 展开菜单图标。
选择修改转发器配置。
对配置进行更改。如需了解详情,请参阅添加转发器过程中的配置步骤。
点击提交。
删除转发器
如需删除转发器,请按以下步骤操作:
在“转发器”页面上,选中要删除的每个转发器对应的复选框。
点击 展开菜单图标。
选择删除所选项。
点击删除所选项。
管理收集器
列出 Google Security Operations 实例中的收集器
如需列出 Google Security Operations 实例中的收集器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
- 点击名称列标题旁边的展开箭头。这会展开所有转发器,并为每个转发器最多显示五个收集器。
- 如果转发器的收集器超过五个,请点击查看所有收集器链接。
修改收集器配置
如需修改收集器配置,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
点击要修改收集器的转发器的展开箭头。
如果收集器超过 5 个,请点击查看所有收集器链接。
将指针悬停在要修改配置的收集器上。此时会显示修改链接。
点击修改。
对配置进行更改。如需了解详情,请参阅添加收集器过程中的配置步骤。
点击提交。
删除收集器
如需删除收集器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
点击要为其删除收集器的转发器的展开箭头。
如果收集器超过 5 个,请点击查看所有收集器链接。
将指针悬停在要修改配置的收集器上。此时会显示删除链接。
点击删除链接。
点击删除按钮进行确认。
下载配置文件
下载转发器至少需要一个收集器。如果您尝试下载没有收集器的转发器,则会收到错误消息。
只要您的 Google Security Operations 实例中列出的任何转发器至少有一个收集器,您就可以下载转发器配置 (.conf) 文件和/或身份验证文件 (_auth.conf)。下载文件后,您需要将其部署在 Google Security Operations Forwarder 所在的 Windows 或 Linux 系统上。
如需下载转发器配置文件,请执行以下操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
在转发器页面上,找到所需的转发器。如果 转发器较长,请使用搜索字段。
将指针悬停在要为其下载配置文件的转发器上。系统随即会显示 展开菜单图标。
点击 展开菜单图标。
选择下载。
在下载转发器配置对话框中,执行以下操作之一:
- 如需下载转发器配置文件,请点击
.conf文件类型旁边的下载图标。 - 如需下载转发器身份验证文件,请点击
_auth.conf文件类型旁边的下载图标。 - 如需下载这两个文件,请点击全部下载。
- 如需下载转发器配置文件,请点击
配置设置参考
转发器配置包含一个或多个收集器。
您可以在转发器级别配置以下设置:
您可以在转发器级别和 收集器级别。如需了解在 请参阅关于设置的部分。
您可以在收集器级别配置以下设置:
上传压缩文件
默认:已启用
您可以为转发器配置上传压缩,但不可以为收集器配置。 启用后,此设置会在将日志上传到 Google Security Operations,这样可以减少 Google Security Operations,不过,压缩可能会导致 CPU 使用量增加。
带宽和 CPU 使用率之间的权衡取决于多种因素,包括 日志数据类型、数据的可压缩性、CPU 可用性 以及减少网络延迟 带宽占用例如,基于文本的日志具有良好的压缩效果, 以较低的 CPU 使用率大幅节省带宽。不过,经过加密 原始数据包的载荷无法很好地压缩,并且会导致 CPU 使用量增加。
资源命名空间
默认值:如果未指定,则该字段为空。
您可以为转发器和/或收集器配置资源命名空间。您 可以使用命名空间来识别来自不同网络段的日志 消除重叠的 IP 地址的冲突。您配置的所有命名空间都会显示 与 Google Security Operations 界面中的关联资产相关联。您还可以搜索 查找使用 Google Security Operations Search 功能的命名空间。
您可以为转发器指定命名空间,并且可以指定 为转发器的一个或多个收集器提供此属性。如果为命名空间指定了命名空间 收集器,系统将使用收集器的命名空间,而不是转发器的命名空间 来自该收集器的日志的命名空间。
如需了解如何使用命名空间,请参阅 资产命名空间。
标签
默认:如果未指定,则字段为空。
您可以为转发器和/或收集器配置标签。使用标签 使用键值对将任意元数据附加到日志。标签可以是 为整个转发器或 。如果两者同时提供,则标签会与收集器的键合并 如果键重叠,则优先于转发器的键。
正则表达式过滤条件
默认:如果未指定,则字段为空。
您可以为转发器、收集器或 两者都有。通过正则表达式过滤器,您可以阻止或允许原始网页的 与表达式匹配的日志。
过滤条件使用 RE2 语法。
过滤条件必须包含正则表达式,并视需要定义匹配时的行为。匹配时的默认行为是禁播(您还可以 明确将其配置为块)。
或者,您可以指定具有 allow 行为的过滤器。如果您指定了任何允许过滤器,则转发器会屏蔽与至少一个允许过滤器不匹配的任何日志。
您可以定义任意数量的过滤条件。块过滤器优先于允许过滤器。
定义过滤器时,必须为其指定名称。有效广告资源的名称 过滤器使用转发器运行状况指标向 Google Security Operations 报告。过滤条件 与在收集器定义的过滤器合并 。如果名称存在冲突,则收集器级别的过滤器优先。如果 转发器和收集器级别均未定义过滤器, 那就是全部允许
针对 Syslog 收集的 HTTP 服务器设置
Google Security Operations Forwarder 可以部署在 第 4 层负载均衡器安装在数据源和转发器之间 实例。这样,您就可以将日志收集 或者,如果一个转发器出现故障,则将日志发送给其他转发器。这个 只有 syslog 收集类型支持该功能。
转发器包括一个可响应 HTTP 的内置 HTTP 服务器 进行健康检查HTTP 服务器还有助于确保 日志在转发器启动或关闭期间不会丢失。
转发器配置中的服务器设置支持设置超时 为响应在 中收到的健康检查,而返回的时长和状态代码 容器调度器和基于编排的部署, 负载平衡器
对运行状况、就绪性和活跃性检查使用以下网址路径。通过
<host:port> 值在转发器配置中定义。
- http://
<host:port>/meta/available:容器的活跃性检查 Kubernetes 等调度器/编排器 - http://
<host:port>/meta/ready:就绪性检查和传统负载 负载平衡器健康检查。
| 设置 | 说明 |
|---|---|
| 安全超时 | 在
转发器返回一个未读状态以响应健康检查。
这也是接收信号停止和停止之间的等待时间
实际上是开始关闭服务器本身。这样,
从池中移除转发器所需的负载均衡器时间。 有效值是以秒为单位的。例如,如需指定 10 秒,请输入 10.
不允许使用小数值。默认值:15 秒 |
| 排空超时 | 转发器等待活动连接的时间
在被
服务器。例如,如需指定 5 秒,请输入 5.
不允许使用小数值。默认值:10 秒 |
| Port(端口) | HTTP 服务器用于监听健康检查的端口号
进行负载均衡器该值必须介于 1024-65535 之间。 默认值 :8080 |
| IP 地址/主机名 | IP 地址或可解析为 IP 地址的主机名
服务器应监听的节点数量 默认值:0.0.0.0(本地系统) |
| 读取超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置允许读取的最长时间
包括标头和正文您可以同时设置
读取超时字段和读取标头
超时字段。 默认值:3 秒 |
| 读取标头超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置允许读取的最长时间
请求标头。连接的读取截止时间晚于
读取标头 默认值:3 秒 |
| 写入超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置允许的最长发送时间
响应。读取新请求标头时,此值会重置。 默认值:3 秒 |
| 空闲超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置等待
启用空闲连接时发送下一个请求。如果 idle
设置为 0,则超时的 read 字段的值
超时字段。如果两者都为零,则读取
标头超时 字段。 默认值:3 秒 |
| 可用状态代码 | 进行活跃性检查时,转发器返回的状态代码
且转发器可用。容器调度器和
Kubernetes 等编排系统通常会发送活跃性检查。 默认值:204 |
| “准备就绪”状态代码 | 转发器在准备好接受时返回的状态代码
在以下任一情况下获得的流量:
|
| “未就绪”状态代码 | 转发器在未准备好接受时返回的状态代码
流量。 默认值:503 |
日志类型
如需查看受支持日志类型的完整列表,请参阅 支持的数据集。
磁盘缓冲
磁盘缓冲允许您将积压的消息缓冲到磁盘,而不是内存。可存储积压的消息,以防转发器崩溃或底层主机崩溃。请注意,启用磁盘缓冲可能会影响 性能
如果停用磁盘缓冲,收集器会使用 1 GB 的内存 (RAM) 来 收集日志您可以使用最大文件缓冲区 收集器配置中的字节设置。这决定了最大 RAM 在积压消息缓冲到磁盘之前收集器使用的大小。通过 默认值为 1073741824。最大值为 4294967296。
如果您使用 Docker 运行转发器,Google 建议您将一个 将卷与配置卷分开,以实现隔离。此外,每个输入都应与其自己的目录或卷隔离,以避免冲突。
收集器类型设置
每个收集器配置都必须指定收集器类型。此部分 收集器类型及其设置
文件
使用 file 收集器类型可从单个日志文件上传日志。
| 字段 | 此类型的必填字段或选填字段 | 说明 |
|---|---|---|
| 文件路径 | 必填 | 目录路径和文件名。例如:/opt/chronicle/edr/output/sample.txt |
Kafka
使用 kafka 收集器类型从 Kafka 主题注入数据。Kafka 使用方
利用这些实例组,您可以将最多三个 Google Security Operations 转发器部署到
从同一 Kafka 主题拉取数据。如需了解详情,请参阅
Kafka。
如需详细了解 Kafka 使用者群组,请参阅
Kafka Consumer。
| 字段 | 对于此类型是必填项或选填项 | 说明 |
|---|---|---|
| 用户名 | 必填 | 用于身份验证的身份的用户名。 |
| 密码 | 必填 | 与用户名相关联的账号密码。 |
| 主题 | 必填 | 要从中注入数据的 Kafka 主题。 |
| 群组 ID | 必填 | 群组 ID。 |
| 超时 | 必填 | 拨号连接前等待的秒数上限
。 默认值 :60 |
| 经纪机构 | 可选 | 在文本框中输入一个经纪人。例如:broker-1:9092 点击添加其他代理人以添加其他代理人。 注意:更新期间所有值都会被替换 操作。因此,要更新代理列表,以添加新的 broker,请指定所有现有代理和新的代理。 |
| TLS 证书 | 必填 | 路径和证书文件名。例如:/path/to/cert.pem |
| TLS 证书密钥 | 必填 | 路径和证书密钥文件名。例如:/path/to/cert.key |
| 最低的 TLS 版本 | 必填 | 最低的 TLS 版本。 示例:TLSv1_3 |
| TLS 不安全跳过验证 | 必填 | 启用 SSL 认证验证。 默认:停用 |
Pcap
本部分包含以下主题:
在 Windows 上使用 pcap
Google Security Operations 转发器可以直接从网络接口捕获数据包 在 Windows 系统上使用 Npcap
与 Google Security Operations 支持团队联系,以更新您的 Google Security Operations 转发器配置文件 来支持数据包捕获
如需运行数据包捕获 (PCAP) 转发器,您需要以下各项:
- 在 Microsoft Windows 主机上安装 Npcap。
- 在 Windows 主机上,向 Google Security Operations 转发器授予 root 权限或管理员权限 监控网络接口的权限。
- 无需命令行选项。
- 安装 Npcap 时,启用 WinPcap 兼容模式。
在 Linux 上使用 pcap
使用 pcap 收集器类型可直接从网络捕获数据包
使用 libcap 在 Linux 上运行接口。如需详细了解 libcap,请参阅
libcap - Linux 手册页。
系统捕获数据包并将其发送到 Google Security Operations,而不是日志条目。数据包 捕获仅从本地接口处理。
Google Security Operations 使用伯克利数据包过滤器 (BPF) 配置 Google Security Operations 转发器 捕获数据包时使用的表达式(例如,端口 53,而不是 localhost)。 如需了解详情,请参阅 Berkeley 数据包过滤器。
pcap 的收集器设置
相同的收集器配置设置适用于 Linux 或 Windows 主机。
| 字段 | 对于此类型是必填项或选填项 | 说明 |
|---|---|---|
| 网络接口 | 必填 | 用于监听 PCAP 数据的接口。 注意:对于 Windows 主机,这是 用于捕获数据包的接口。如需获取此值,请运行以下命令: 在 Google Security Operations Forwarder 所在的机器上运行 getmac.exe 已安装(服务器或监听 span 的机器) 端口)。getmac.exe 输出以 \Device\Tcpip_ 开头。
将其替换为 \Device\NPF_。示例:
\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
|
| 伯克利数据包过滤器 | 必填 | pcap 的柏克莱封包过滤器 (BPF)。 示例: udp port 53 |
Splunk
使用 splunk 收集器类型收集 Splunk 数据。
| 字段 | 对于此类型是必填项或选填项 | 说明 |
|---|---|---|
| 用户名 | 必填 | 用于身份验证的身份的用户名。 |
| 密码 | 必填 | 由用户名标识的账号的密码。 |
| 主机 | 必填 | Splunk REST API 的主机或 IP 地址。 示例: https://10.0.113.15 |
| 端口 | 必填 | Splunk REST API 的端口。 |
| 窗口大小下限 | 必填 | 传递给 Splunk 查询的最短时间范围(以秒为单位)。这个
参数用于调优。
当转发器进入
稳定状态。此外,在出现延迟时,系统可能
进行过几次更新 默认值:10 |
| 窗口大小上限 | 必填 | 传递给 Splunk 查询的最长时间范围(以秒为单位)。这个
参数用于在存在延迟或
每个查询都需要有数据。 更改此参数(等于或大于) 最低参数。如果执行 Splunk 查询调用, 用时超过窗口大小上限 注意: Splunk 的 服务器。查询的时间范围始终介于 最小和最大窗口参数。 默认值:30 |
| 查询字符串 | 必填 | 用于在 Splunk 中过滤记录的查询。 示例: search index=* sourcetype=dns |
| 查询模式 | 必填 | Splunk 的查询模式。 示例: realtime |
| 已忽略证书 | 可选 | 如果此政策已启用,系统会忽略该证书。 默认:停用 |
Syslog
使用 syslog 收集器类型来收集 Syslog 数据。您可以配置任意
支持通过 TCP 或 UDP 发送 Syslog 数据的设备或服务器
连接以将其数据转发到 Google Security Operations 转发器。您可以控制
设备或服务器发送至 Google Security Operations 转发器的数据。Google Security Operations Forwarder
然后将数据转发到 Google Security Operations。
| 字段 | 对于此类型是必填项或选填项 | 说明 |
|---|---|---|
| 协议 | 必填 | 收集器用于监听 Syslog 数据的连接协议。有效值包括:
|
| 地址 | 必填 | 收集器所在的目标 IP 地址或主机名,以及 监听 Syslog 数据。 |
| 端口 | 必填 | 收集器驻留并监听 syslog 的目标端口 数据。 |
| 缓冲大小 | 必填 | 套接字缓冲区的大小(以字节为单位)。 TCP 的默认值为 65536。 UDP 的默认值为 8192。 |
| 连接超时 | 必填 | TCP 连接处于非活动状态的秒数
下降。 默认值:60 |
| TLS 证书 | 必填 | 路径和证书文件名。例如:/path/to/cert.pem |
| TLS 证书密钥 | 必填 | 路径和证书密钥文件名。例如:/path/to/cert.key |
| 最低的 TLS 版本 | 必填 | 最低的 TLS 版本。 示例: TLSv1_3 |
| TLS 不安全跳过验证 | 必填 | 启用 SSL 认证验证。 默认:停用 |
WebProxy
除了在 Windows 上指定 Google SecOps 转发器的字段值之外,还需要在 Windows 计算机或设备上安装 Npcap 库。Linux 系统上的 Google SecOps 转发器不需要执行此操作。
| 字段 | 对于此类型是必填项或选填项 | 说明 |
|---|---|---|
| 网络接口 | 必填 | 用于监听 Web 代理数据的接口。 |
| 伯克利数据包过滤器 | 必填 | Web 代理的柏克莱封包过滤器 (BPF)。 示例: udp port 53 |
问题排查
转发器未收到 Syslog 数据
确保收集器的 Syslog 设置已配置为使用正确的连接协议(TCP 或 UDP)来处理传入数据。如需了解详情,请参阅修改收集器。