Gérer les configurations du redirecteur via l'interface utilisateur de Google Security Operations

Compatible avec :

Cette page explique comment créer, gérer et télécharger des configurations de redirecteurs à l'aide de l'interface utilisateur (UI) de Google Security Operations. Vous pouvez également effectuer ces tâches de manière automatisée à l'aide du API Forwarder Management :

Conventions d'attribution de noms

Ce document utilise les conventions d'attribution de noms suivantes:

  • Google Security Operations Forwarder: composant logiciel déployé.
  • forwarder: nom court d'une configuration de redirecteur lorsqu'elle est stockée dans votre instance Google Security Operations.
  • collector: nom court d'une configuration de collecteur lorsqu'elle est stockée dans votre instance Google Security Operations.

Ajouter des redirecteurs

L'ajout d'un redirecteur est la première étape de la configuration d'un redirecteur Google Security Operations. Ajouter un forwarder vous permet d'effectuer les opérations suivantes :

  • Nommez une configuration de redirecteur.
  • Spécifiez les valeurs de configuration du redirecteur.

L'ajout d'un redirecteur crée une configuration de redirecteur partiellement complète. À terminer la configuration du redirecteur, vous devez ajoutez un collecteur. Après avoir ajouté au moins un collecteur, vous pouvez télécharger la configuration du transfert et la déployer sur une machine ou un appareil sur lesquels Google Security Operations Forwarder est installé.

Au lieu d'ajouter un redirecteur, vous pouvez cloner un ou plusieurs redirecteurs. Pour en savoir plus, consultez Gestionnaires de clones :

Pour ajouter un redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires.
  3. Cliquez sur Ajouter un redirecteur.
  4. Dans le champ Nom du redirecteur, saisissez un nom.

  5. (Facultatif) Développez la section Valeurs de configuration et spécifiez l'un des éléments suivants :

    • Upload compression (Importer la compression) : sélectionnez Yes (Oui) pour compresser les données des journaux avant qu'elles ne soient importées dans Google Security Operations. La valeur par défaut est Non. Pour en savoir plus sur les données la compression, voir Compression des importations.
    • Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux qui sont collectées par ce redirecteur. Cet espace de noms sera appliqué à tous les collecteurs ajoutés à ce forwarder, sauf si vous spécifiez un espace de noms pour un collecteur au niveau du collecteur. Si vous spécifiez un espace de noms à la fois au niveau du redirecteur et au niveau du collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur pour les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, consultez Espaces de noms d'éléments.
    • Clé de l'étiquette et Valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur Ajouter un libellé pour ajouter un ou plusieurs libellés. clé:valeur. Il s'agit d'un paramètre global qui s'applique au redirecteur et les collecteurs du redirecteur, sauf si elle est remplacée au niveau du collecteur. Pour en savoir plus, consultez Libellés :
    • Description du filtre, Expression régulière et Comportement du filtre : Ajouter des filtres qui filtrent les journaux en fonction d'expressions régulières (Syntaxe RE2) correspond à chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le en cas de correspondance est de block sur la ligne entrante, à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez Filtres d'expressions régulières.

  6. (Collecte Syslog uniquement) Facultatif : Activez Paramètres du serveur pour configurer le serveur HTTP intégré du transpondeur, qui peut être utilisé pour configurer l'équilibrage de charge et les options de haute disponibilité pour la collecte Syslog sur Linux. Pour en savoir plus sur ces paramètres, consultez la section Paramètres du serveur HTTP pour la collecte des journaux système.

  7. Cliquez sur Envoyer.

    Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.

  8. Dans le champ Nom du marchand, saisissez un nom.

  9. Cliquez sur le champ Type de journal pour afficher la liste des types de journaux, puis effectuez l'une des opérations suivantes :

    • Si le type de journal souhaité ne s'affiche pas, commencez à saisir son nom dans le champ pour afficher d'autres suggestions. Pour obtenir la liste complète des types de journaux pris en charge, voir Ensembles de données compatibles.
    • Sélectionnez un type de journal dans la liste.

  10. (Facultatif) Développez la section Valeurs de configuration et spécifiez les valeurs des éléments suivants:

    • Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux qui sont collectées par ce collecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, voir Espaces de noms des éléments.
    • Clé d'étiquette et valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter un ou plusieurs libellés. clé:valeur. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifié au niveau du redirecteur. Pour en savoir plus, consultez Libellés :
    • Description du filtre, Expression régulière et Comportement du filtre : ajoutez des filtres qui filtrent les journaux en fonction des correspondances d'expression régulière (syntaxe RE2) avec chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le en cas de correspondance est de block sur la ligne entrante, à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez Filtres d'expressions régulières.

  11. (Facultatif) Développez la section Paramètres avancés et spécifiez l'un des les éléments suivants:

    • Secondes maximales par lot : nombre de secondes entre les lots. La valeur par défaut est 10.
    • Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant le redirecteur effectuer une importation groupée. La valeur par défaut est 1048576.

  12. (Facultatif) Tampon disque : activez le bouton pour activer le disque. pour le collecteur. Pour en savoir plus sur le tamponnage de disque, consultez la section Tamponnage de disque. Lorsque cette option est activée, vous pouvez spécifier les paramètres suivants:

    • Directory path (Chemin d'accès au répertoire) : chemin d'accès au répertoire des fichiers écrits.
    • Max file buffer bytes (Nombre maximal d'octets de la mémoire tampon du fichier) : taille de disque maximale utilisée par le collecteur avant que les messages en attente ne soient mis en mémoire tampon sur le disque. La valeur par défaut est 1073741824. Le maximum est de 4294967296.

  13. Cliquez sur le champ Type de collecteur, puis sélectionnez un type de collecteur. Chaque le type de collecteur a ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez la section Paramètres des types de collecteurs.

  14. Cliquez sur Envoyer.

Ajouter des collecteurs

Vous pouvez ajouter un ou plusieurs collecteurs à un forwarder existant.

L'ajout d'un collecteur vous permet d'effectuer les opérations suivantes:

  • Nommez le collecteur.
  • Spécifiez le type de journal à collecter, par exemple Pan Firewall ou Cisco ASA le pare-feu, etc.
  • Spécifiez le type de collecteur : fichier, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Spécifiez les valeurs de configuration du collecteur.

Après avoir ajouté au moins un collecteur à un redirecteur, vous pouvez télécharger le la configuration du redirecteur et la déployer sur une machine ou un appareil où Google Security Operations Le redirecteur est installé.

Pour ajouter un collecteur à un redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires.
  3. Sur la page redirecteurs, recherchez le redirecteur souhaité. Si la liste des redirecteurs étant long, utilisez le champ Rechercher.
  4. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez ajouter un collecteur. L'icône du menu Développer s'affiche.
  5. Cliquez sur l'icône du menu Développer .
  6. Choisissez Ajouter un collecteur.
  7. Dans le champ Nom du collecteur, saisissez un nom.

  8. Cliquez sur le champ Type de journal pour afficher la liste des types de journaux, puis effectuez l'une des opérations suivantes :

    • Si vous ne voyez pas le type de journal souhaité, commencez à saisir son nom dans le pour afficher plus de suggestions. Pour obtenir la liste complète des types de journaux pris en charge, voir Ensembles de données compatibles.
    • Sélectionnez un type de journal dans la liste.

  9. (Facultatif) Développez la section Valeurs de configuration et spécifiez les valeurs des éléments suivants:

    • Espace de noms de l'élément:saisissez un espace de noms qui identifie les journaux qui sont collectées par ce collecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de celui du redirecteur les journaux de ce collecteur. Pour en savoir plus sur les espaces de noms d'éléments, voir Espaces de noms des éléments.
    • Clé d'étiquette et valeur de l'étiquette:saisissez une clé et une valeur. Si vous le souhaitez, vous pouvez également cliquer sur En ajouter un autre pour ajouter un ou plusieurs libellés. clé:valeur. Pour les journaux de ce collecteur, ce paramètre remplace les étiquettes spécifié au niveau du redirecteur. Pour en savoir plus, consultez Libellés :
    • Description du filtre, Expression régulière et Comportement du filtre : Ajouter des filtres qui filtrent les journaux en fonction d'expressions régulières (Syntaxe RE2) des correspondances avec chaque ligne entrante du journal brut. Le comportement du filtre détermine si la ligne entrante doit être allow ou block en cas de correspondance. Par défaut, y compris lorsque le comportement du filtre est unspecified, le en cas de correspondance est de block sur la ligne entrante, à évaluer la ligne suivante pour rechercher une correspondance. Pour en savoir plus, consultez Filtres d'expressions régulières.

  10. (Facultatif) Développez la section Paramètres avancés et spécifiez l'un des les éléments suivants:

    • Secondes maximales par lot : nombre de secondes entre les lots. La valeur par défaut est 10.
    • Nombre maximal d'octets par lot:nombre d'octets mis en file d'attente avant le redirecteur effectuer une importation groupée. La valeur par défaut est 1048576.

  11. (Facultatif) Tampon disque : activez le bouton pour activer le disque. pour le collecteur. Pour en savoir plus sur la mise en mémoire tampon du disque, consultez la section Mise en mémoire tampon du disque. Si cette fonctionnalité est activée, vous pouvez spécifier les paramètres suivants :

    • Directory path (Chemin d'accès au répertoire) : chemin d'accès au répertoire des fichiers écrits.
    • Max file buffer bytes (Nombre maximal d'octets de la mémoire tampon du fichier) : taille de disque maximale utilisée par le collecteur avant que les messages en attente ne soient mis en mémoire tampon sur le disque. La valeur par défaut est 1073741824. Le maximum est de 4294967296.

  12. Cliquez sur le champ Type de collecteur, puis sélectionnez un type de collecteur. Chaque le type de collecteur a ses propres paramètres que vous pouvez configurer. Pour en savoir plus sur les types de collecteurs et leurs paramètres, consultez Paramètres du type de collecteur

  13. Cliquez sur Envoyer.

Gérer les transferts

Répertorier les redirecteurs d'une instance Google Security Operations

Pour répertorier les redirecteurs dans une instance Google Security Operations, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
  3. Facultatif: triez la liste en cliquant sur la colonne Nom ou Dernière mise à jour.

Vous pouvez également utiliser le champ de recherche pour affiner les résultats de votre liste.

redirecteurs de clones

Le clonage vous permet de créer une copie d'une ou de plusieurs configurations de redirecteurs.

Pour cloner les redirecteurs, procédez comme suit:

  1. Sur la page "Transitaires", cochez la case correspondant à chaque transitaire que vous souhaitez cloner.

  2. Cliquez sur l'icône du menu Développer .

  3. Sélectionnez Cloner la sélection.

  4. Cliquez sur Clone (Cloner). Une copie de chaque redirecteur est ajoutée.

Modifier une configuration de redirecteur

Pour modifier une configuration de redirecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Transmetteurs. La page affiche la liste des redirecteurs.

  3. Maintenez le pointeur sur le redirecteur dont vous souhaitez modifier la configuration. L'icône de menu Développer  s'affiche.

  4. Cliquez sur l'icône du menu Développer .

  5. Sélectionnez Modifier la configuration du redirecteur.

  6. Modifiez la configuration. Pour en savoir plus, consultez les étapes de configuration de la procédure d'ajout de redirecteurs.

  7. Cliquez sur Envoyer.

Supprimer les redirecteurs

Pour supprimer les redirecteurs, procédez comme suit:

  1. Sur la page " redirecteurs", cochez la case de chaque redirecteur que vous souhaitez supprimer.

  2. Cliquez sur l'icône du menu Développer .

  3. Sélectionnez Supprimer la sélection.

  4. Cliquez sur Supprimer la sélection.

Gérer les collecteurs

Répertorier les collecteurs d'une instance Google Security Operations

Pour répertorier les collecteurs d'une instance Google Security Operations, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.
  3. Cliquez sur la flèche de développement à côté de l'en-tête de colonne Nom. Tous les transferts s'ouvrent, et jusqu'à cinq collecteurs s'affichent pour chaque transfert.
  4. Si un redirecteur a plus de cinq collecteurs, cliquez sur le lien Voir tous les collecteurs.

Modifier la configuration d'un collecteur

Pour modifier la configuration d'un collecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Gestionnaires. La page affiche la liste des redirecteurs.

  3. Cliquez sur la flèche d'expansion du forwarder pour lequel vous souhaitez modifier un collecteur.

  4. S'il y a plus de cinq collecteurs, cliquez sur le lien See all collecteurs (Voir tous les collecteurs).

  5. Maintenez le pointeur sur le collecteur dont vous souhaitez modifier la configuration. Le lien Modifier s'affiche.

  6. Cliquez sur Modifier.

  7. Apportez vos modifications à la configuration. Pour en savoir plus, consultez les étapes de configuration de la procédure d'ajout de collecteurs.

  8. Cliquez sur Envoyer.

Supprimer un collecteur

Pour supprimer un collecteur, procédez comme suit:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Transmetteurs. La page affiche la liste des redirecteurs.

  3. Cliquez sur la flèche de développement du redirecteur pour lequel vous souhaitez supprimer le collecteur.

  4. S'il y a plus de cinq collecteurs, cliquez sur le lien See all collecteurs (Voir tous les collecteurs).

  5. Pointez sur le collecteur dont vous souhaitez modifier la configuration. Le lien Supprimer s'affiche.

  6. Cliquez sur le lien Supprimer.

  7. Pour confirmer, cliquez sur le bouton Supprimer.

Télécharger les fichiers de configuration

Le téléchargement d'un redirecteur nécessite au moins un collecteur. Si vous essayez de télécharger un redirecteur sans collecteur, un message d'erreur s'affiche.

Vous pouvez télécharger le fichier de configuration (.conf) ou d'authentification (_auth.conf) de tout forwarder listé dans votre instance Google Security Operations, à condition qu'il comporte au moins un collecteur. Après avoir téléchargé les fichiers, vous devez les déployer sur le système Windows ou Linux qui héberge Google Security Operations Forwarder.

Pour télécharger les fichiers de configuration du redirecteur:

  1. Dans la barre de navigation, cliquez sur Paramètres.
  2. Sous "Paramètres", cliquez sur Transmetteurs. La page affiche la liste des redirecteurs.

  3. Sur la page redirecteurs, recherchez le redirecteur souhaité. Si la liste des redirecteurs étant long, utilisez le champ Rechercher.

  4. Maintenez le pointeur sur le redirecteur pour lequel vous souhaitez télécharger les fichiers de configuration. L'icône du menu Développer s'affiche.

  5. Cliquez sur l'icône du menu Développer .

  6. Sélectionnez Télécharger.

  7. Dans la boîte de dialogue Download redirecter configuration (Configuration du redirecteur de téléchargement), effectuez l'une des opérations suivantes:

    • Pour télécharger le fichier de configuration du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier .conf.
    • Pour télécharger le fichier d'authentification du redirecteur, cliquez sur l'icône de téléchargement à côté du type de fichier _auth.conf.
    • Pour télécharger les deux fichiers, cliquez sur Tout télécharger.

Documentation de référence sur les paramètres de configuration

Les configurations du redirecteur incluent un ou plusieurs collecteurs.

Vous pouvez configurer les paramètres suivants au niveau du redirecteur:

Vous pouvez configurer les paramètres suivants au niveau du redirecteur et au niveau du collecteur. Pour comprendre le résultat de la configuration du paramètre niveaux, consultez la section sur le paramètre.

Vous pouvez configurer les paramètres suivants au niveau du collecteur:

Importer la compression

Par défaut:Activé

Vous pouvez configurer la compression d'importation pour un forwarder, mais pas pour un collecteur. Lorsqu'il est activé, ce paramètre compresse les journaux avant qu'ils ne soient importés dans Google Security Operations. Cela réduit la consommation de bande passante réseau lors du transfert vers Google Security Operations. Toutefois, la compression peut entraîner une augmentation de l'utilisation du processeur.

Le compromis entre la bande passante et l'utilisation du processeur dépend de nombreux facteurs, y compris du type de données de journalisation, de la compressibilité de ces données, de la disponibilité des cycles de processeur sur l'hôte exécutant le forwarder et de la nécessité de réduire la consommation de bande passante réseau. Par exemple, les journaux basés sur du texte sont bien compressés et peuvent permettent de réduire considérablement la bande passante tout en utilisant peu le processeur. Toutefois, les données chiffrées les charges utiles des paquets bruts ne sont pas bien compressées et entraînent une utilisation plus élevée du processeur.

Espaces de noms des éléments

Par défaut:le champ est vide s'il n'est pas spécifié.

Vous pouvez configurer un espace de noms d'éléments pour un forwarder ou un collecteur, ou les deux à la fois. Toi peuvent utiliser un espace de noms pour identifier les journaux provenant de segments réseau distincts et d'éliminer les conflits d'adresses IP qui se chevauchent. Tous les espaces de noms que vous configurez s'affichent avec les composants associés dans l'interface utilisateur de Google Security Operations. Vous pouvez aussi rechercher pour les espaces de noms à l'aide de la fonctionnalité Google Security Operations Search.

Vous pouvez spécifier un espace de noms pour un redirecteur et spécifier différents espaces de noms pour un ou plusieurs collecteurs du redirecteur. Si un espace de noms est spécifié pour un collecteur, l'espace de noms du collecteur est utilisé à la place de l'espace de noms du transpondeur pour les journaux de ce collecteur.

Pour en savoir plus sur l'utilisation des espaces de noms, consultez Espaces de noms des éléments.

Étiquettes

Valeur par défaut : les champs sont vides si aucune valeur n'est spécifiée.

Vous pouvez configurer des étiquettes pour un redirecteur et/ou un collecteur. Des étiquettes sont utilisées pour joindre des métadonnées arbitraires aux journaux en utilisant des paires clé/valeur. Les étiquettes peuvent être configuré pour l'intégralité d'un redirecteur ou dans un collecteur spécifique à l'origine du transfert. Si les deux sont fournis, les étiquettes sont fusionnées avec les clés du collecteur prévaut sur les clés du redirecteur si les clés se chevauchent.

Filtres d'expressions régulières

Par défaut:les champs sont vides s'ils ne sont pas spécifiés.

Vous pouvez configurer des filtres d'expression régulière pour un redirecteur, un collecteur les deux. Les filtres d'expression régulière vous permettent de bloquer ou d'autoriser les lignes entrantes d'un texte brut log qui correspondent à l'expression.

Les filtres utilisent les Syntaxe RE2.

Les filtres doivent inclure une expression régulière et, éventuellement, définir un comportement en cas de correspondance. Le comportement par défaut en cas de correspondance est le blocage (vous pouvez également le configurer explicitement comme tel).

Vous pouvez également spécifier des filtres avec le comportement allow (autoriser). Si vous indiquez tous les filtres d'autorisation, le redirecteur bloque tous les journaux qui ne correspondent pas à au moins un d'autorisation.

Il est possible de définir un nombre arbitraire de filtres. Les filtres de blocage prennent sur les filtres d'autorisation.

Lorsque des filtres sont définis, un nom doit leur être attribué. Noms des comptes sont signalés à Google Security Operations à l'aide des métriques d'état du redirecteur. Filtres définis au niveau du redirecteur sont fusionnés avec les filtres définis au niveau du collecteur d'application. Les filtres au niveau du collecteur prévalent en cas de noms contradictoires. Si qu'aucun filtre n'est défini au niveau du redirecteur ou du collecteur, le comportement est de tout autoriser.

Paramètres du serveur HTTP pour la collecte syslog

Le redirecteur des opérations de sécurité Google peut être déployé dans un environnement L'équilibreur de charge de couche 4 est installé entre la source de données et le redirecteur Compute Engine. Vous pouvez ainsi répartir la collecte des journaux plusieurs redirecteurs ou envoyer des journaux à un redirecteur différent en cas de défaillance. Ce est pris en charge uniquement avec le type de collection syslog.

Le redirecteur inclut un serveur HTTP intégré qui répond aux de l'équilibreur de charge. Le serveur HTTP permet également de s'assurer que les journaux ne sont pas perdus lors du démarrage ou de l'arrêt d'un redirecteur.

Les paramètres du serveur dans les configurations de transfert permettent de définir les durées de délai avant expiration et les codes d'état renvoyés en réponse aux vérifications de l'état reçues dans les déploiements basés sur l'orchestration et le planificateur de conteneurs, ainsi que par les équilibreurs de charge traditionnels.

Utilisez les chemins d'URL suivants pour les vérifications d'état, d'aptitude et d'activité. La Les valeurs <host:port> sont définies dans la configuration du redirecteur.

  • http://<host:port>/meta/available : vérifications de l'état de fonctionnement pour les planificateurs/orchestrateurs de conteneurs, tels que Kubernetes.
  • http://<host:port>/meta/ready: vérifications d'aptitude et charge traditionnelle les vérifications de l'état de l'équilibreur de charge.
Paramètre Description
Délai progressif Durée pendant laquelle de nouvelles connexions sont toujours acceptées après le le redirecteur renvoie un état "unready" en réponse à une vérification de l'état. C'est également le temps d'attente entre la réception d'un signal pour s'arrêter et à l'origine de l'arrêt du serveur lui-même. Cela permet au de l'équilibreur de charge pour retirer le redirecteur du pool.

Les valeurs valides sont exprimées en secondes. Par exemple, pour spécifier 10 secondes, saisissez 10.. Les valeurs décimales ne sont pas autorisées.

Valeur par défaut:15 secondes
Délai avant expiration du drainage Durée pendant laquelle le redirecteur attend que des connexions actives se ferment d'elles-mêmes avant d'être fermées Google Cloud. Par exemple, pour spécifier 5 secondes, saisissez 5.. Les valeurs décimales ne sont pas autorisées.

Par défaut:10 secondes
Port Numéro de port sur lequel le serveur HTTP écoute les vérifications d'état de l'équilibreur de charge. La valeur doit être comprise entre 1024 et 65535.

Par défaut : 8080
Adresse IP/Nom d'hôte L'adresse IP, ou un nom d'hôte qui peut être résolu en adresse IP, que le serveur doit écouter.

Par défaut:0.0.0.0 (le système local)
Délai avant expiration de la lecture Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier du paramètre par défaut. Durée maximale autorisée pour la lecture l'ensemble de la requête, à la fois l'en-tête et le corps. Vous pouvez définir à la fois Le champ read time (délai de lecture) et l'en-tête de lecture délai avant expiration.

Par défaut:3 secondes
Délai avant expiration de l'en-tête de lecture Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier du paramètre par défaut. Durée maximale autorisée pour la lecture en-têtes de requêtes. Le délai de lecture de la connexion est réinitialisé au bout de qui lit l'en-tête.

Par défaut:3 secondes
Délai d'expiration en écriture Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier du paramètre par défaut. Durée maximale autorisée pour l'envoi une réponse. Il est réinitialisé lorsqu'un nouvel en-tête de requête est lu.

Par défaut:3 secondes
Délai d'inactivité Utilisé pour régler le serveur HTTP. En règle générale, il n'est pas nécessaire de modifier du paramètre par défaut. Durée maximale d'attente de la requête suivante lorsque les connexions inactives sont activées. Si les délai avant expiration est défini sur zéro, la valeur de l'erreur read délai avant expiration est utilisé. Si les deux valeurs sont nulles, le champ Expiration de l'en-tête de lecture est utilisé.

Par défaut:3 secondes
Code d'état disponible Code d'état renvoyé par le redirecteur lorsqu'une vérification d'activité est reçu et que le redirecteur est disponible. Les planificateurs de conteneurs les orchestrateurs, tels que Kubernetes, envoient souvent des vérifications d'activité.

Par défaut:204
Code d'état d'aptitude Code d'état renvoyé par le redirecteur lorsqu'il est prêt à accepter du trafic dans l'une des situations suivantes:
  • Une vérification d'aptitude est reçue d'un programmeur de conteneurs ou d'un orchestrateur, comme Kubernetes.
  • Une vérification de l'état est envoyée par un équilibreur de charge traditionnel.
Valeur par défaut : 204
Code d'état "Non prêt" Code d'état renvoyé par le redirecteur lorsqu'il n'est pas prêt à accepter du trafic.

Par défaut:503

Type de journal

Pour obtenir la liste complète des types de journaux pris en charge, consultez Ensembles de données compatibles.

Mise en mémoire tampon de disque

La mise en mémoire tampon du disque vous permet de mettre en mémoire tampon les messages en attente sur le disque, mémoire. Les messages en attente peuvent être stockés en cas de plantage ou l'hôte sous-jacent plante. Sachez que l'activation de la mise en mémoire tampon du disque des performances.

Si le tamponnage de disque est désactivé, le collecteur utilise 1 Go de mémoire (RAM) pour les journaux qu'il collecte. Vous pouvez spécifier la valeur maximale à l'aide de la commande Max file buffer octets dans la configuration du collecteur. Ce paramètre détermine la mémoire RAM maximale utilisée par le collecteur avant la mise en mémoire tampon des messages en attente sur le disque. La la valeur par défaut est 1073741824. La valeur maximale est de 4 294 967 296.

Si vous exécutez le forwarder à l'aide de Docker, Google recommande de monter un volume distinct de votre volume de configuration à des fins d'isolation. Par ailleurs, chaque entrée doit être isolée avec son propre répertoire ou volume les conflits.

Paramètres du type de collecteur

Chaque configuration de collecteur doit spécifier un type de collecteur. Cette section décrit les types de collecteurs et leurs paramètres.

Fichier

Utilisez le type de collecteur file pour importer des journaux à partir d'un seul fichier journal.

Champ Champ obligatoire ou facultatif pour ce type Description
Chemin d'accès au fichier Obligatoire Chemin d'accès et nom de fichier du répertoire. Exemple:

/opt/chronicle/edr/output/sample.txt

Kafka

Utilisez le type de collecteur kafka pour ingérer des données à partir de sujets Kafka. Les groupes de consommateurs Kafka vous permettent de déployer jusqu'à trois transferts Google Security Operations pour extraire des données du même sujet Kafka. Pour en savoir plus, consultez Kafka : Pour en savoir plus sur les groupes de consommateurs Kafka, consultez Consommateur Kafka.

Champ Obligatoire ou facultatif pour ce type Description
Nom d'utilisateur Obligatoire Nom d'utilisateur d'une identité utilisée pour l'authentification.
Mot de passe Obligatoire Mot de passe du compte associé au nom d'utilisateur.
Thème Obligatoire Sujet Kafka à partir duquel ingérer des données.
ID du groupe Obligatoire Un ID de groupe
Délai avant expiration Obligatoire Nombre maximal de secondes pendant lesquelles un numéro doit attendre une connexion à terminé.

Par défaut : 60
Courtiers Facultatif Saisissez un courtier dans la zone de texte. Exemple:

broker-1:9092


Cliquez sur Ajouter un autre courtier pour ajouter un courtier.

Remarque:Toutes les valeurs sont remplacées lors d'une mise à jour. opération. Par conséquent, pour mettre à jour la liste des courtiers afin d'ajouter , spécifiez tous les courtiers existants et le nouveau.
Certificat TLS Obligatoire Chemin d'accès et nom de fichier du certificat. Exemple:

/path/to/cert.pem

Clé de certificat TLS Obligatoire Chemin d'accès et nom de fichier de la clé de certificat. Exemple:

/path/to/cert.key

Version minimale de TLS Obligatoire Version minimale du TLS.

Exemple:TLSv1_3
Ignorer la validation TLS non sécurisée Obligatoire Active la validation de la certification SSL.

Par défaut:désactivé

Pcap

Cette section aborde les sujets suivants :

Utiliser pcap sous Windows

Le redirecteur Google Security Operations peut capturer des paquets directement à partir d'une interface réseau à l'aide de Npcap sur les systèmes Windows.

Contactez l'assistance Google Security Operations pour mettre à jour votre fichier de configuration du forwarder Google Security Operations afin de prendre en charge la capture de paquets.

Pour exécuter un redirecteur de capture de paquets (PCAP), vous avez besoin des éléments suivants:

  • Installez Npcap sur l'hôte Microsoft Windows.
  • Sur l'hôte Windows, attribuez aux administrateurs Google Security Operations les droits d'administrateur les privilèges pour surveiller l'interface réseau.
  • Aucune option de ligne de commande n'est nécessaire.
  • Lors de l'installation de Npcap, activez le mode de compatibilité WinPcap.
Utiliser pcap sous Linux

Utilisez le type de collecteur pcap pour capturer des paquets directement à partir d'une interface réseau à l'aide de libcap sur Linux. Pour en savoir plus sur libcap, consultez libcap : page du manuel Linux.

Les paquets sont capturés et envoyés à Google Security Operations à la place des entrées de journal. Paquet la capture n'est gérée qu'à partir d'une interface locale.

Google Security Operations configure le forwarder Google Security Operations avec l'expression Berkeley Packet Filter (BPF) utilisée lors de la capture de paquets (par exemple, le port 53 et non localhost). Pour en savoir plus, consultez la section Filtres de paquets Berkeley.

Paramètres du collecteur pour pcap

Les mêmes paramètres de configuration du collecteur s'appliquent à un hôte Linux ou Windows.

Champ Obligatoire ou facultatif pour ce type Description
Interface réseau Obligatoire Interface permettant d'écouter les données PCAP.

Remarque:Pour un hôte Windows, il s'agit du GUID pour l'interface utilisée pour capturer des paquets. Pour obtenir cette valeur, exécutez la commande suivante : getmac.exe sur la machine où Google Security Operations Forwarder (le serveur ou la machine qui écoute sur le segment par défaut). La sortie getmac.exe commence par \Device\Tcpip_. Remplacez-la par \Device\NPF_.

Exemple:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtre de paquets Berkeley Obligatoire Filtre de paquet de Berkeley (BPF) pour pcap.

Exemple:udp port 53

Splunk

Utilisez le type de collecteur splunk pour collecter des données Splunk.

Champ Obligatoire ou facultatif pour ce type Description
Nom d'utilisateur Obligatoire Nom d'utilisateur d'une identité utilisée pour l'authentification.
Mot de passe Obligatoire Mot de passe du compte identifié par le nom d'utilisateur.
Hôte Obligatoire Hôte ou adresse IP de l'API REST Splunk.

Exemple:https://10.0.113.15
Port Obligatoire Port de l'API REST Splunk.
Taille minimale de la fenêtre Obligatoire Période minimale en secondes transmise à la requête Splunk. Ce est utilisé pour le réglage si l'exigence est de modifier la façon dont le serveur Splunk est interrogé lorsque le redirecteur un état stable. De plus, en cas de décalage, l'appel d'API Splunk peut être fait plusieurs fois.

Par défaut:10
Taille maximale de la fenêtre Obligatoire Période maximale (en secondes) transmise à la requête Splunk. Ce paramètre permet d'ajuster les paramètres en cas de latence ou si davantage de données sont requises par requête.

Modifiez ce paramètre (égal ou supérieur à) lorsque vous modifiez le paramètre le paramètre minimal requis. Des retards peuvent survenir si un appel de requête Splunk est au-delà de la taille de fenêtre maximale.

Remarque : Les périodes ne se chevauchent jamais lorsque est interrogée. La période interrogée est toujours comprise entre paramètres de fenêtre minimal et maximal.

Par défaut:30
Chaîne de requête Obligatoire Requête utilisée pour filtrer les enregistrements dans Splunk.

Exemple : search index=* sourcetype=dns
Mode de requête Obligatoire Mode de requête pour Splunk

Exemple:realtime
Certificat ignoré Facultatif Si cette option est activée, le certificat est ignoré.

Par défaut : Désactivé

Syslog

Utilisez le type de collecteur syslog pour collecter des données syslog. Vous pouvez configurer n'importe quel appareil ou serveur compatible avec l'envoi de données syslog via une connexion TCP ou UDP pour transférer ses données vers Google Security Operations Forwarder. Vous pouvez contrôler précisément les données que l'appareil ou le serveur envoie au redirecteur Google Security Operations. Google Security Operations Forwarder puis les transférer à Google Security Operations.

Champ Obligatoire ou facultatif pour ce type Description
Protocole Obligatoire Protocole de connexion utilisé par le collecteur pour écouter les données syslog. Les valeurs possibles sont les suivantes :

  • TCP
  • UDP
Adresse Obligatoire L'adresse IP ou le nom d'hôte cible où réside le collecteur écoute les données syslog.
Port Obligatoire Port cible sur lequel le collecteur réside et écoute le journal syslog données.
Taille de la mémoire tampon Obligatoire Taille en octets du tampon du socket.

La valeur par défaut pour TCP est 65536.
La valeur par défaut pour UDP est 8192.
Délai de connexion Obligatoire Nombre de secondes d'inactivité au terme duquel la connexion TCP est est en baisse.

Par défaut : 60
Certificat TLS Obligatoire Chemin d'accès et nom de fichier du certificat. Exemple:

/path/to/cert.pem

Clé de certificat TLS Obligatoire Chemin d'accès et nom de fichier de la clé de certificat. Exemple:

/path/to/cert.key

Version minimale de TLS Obligatoire Version minimale du TLS.

Exemple:TLSv1_3
Ignorer la validation TLS non sécurisée Obligatoire Active la validation de la certification SSL.

Par défaut:désactivé

WebProxy

En plus de spécifier les valeurs de champ pour Google SecOps Forwarder sous Windows, installez la bibliothèque Npcap sur l'ordinateur ou l'appareil Windows. Cette opération n'est pas requise pour le transpondeur Google SecOps sur les systèmes Linux.

Champ Obligatoire ou facultatif pour ce type Description
Interface réseau Obligatoire Interface permettant d'écouter les données du proxy Web.
Filtre de paquets Berkeley Obligatoire Filtre de paquet de Berkeley (BPF) pour le proxy Web.

Exemple:udp port 53

Dépannage

Les données Syslog ne sont pas reçues par le transmetteur

Assurez-vous que les paramètres syslog du collecteur sont configurés pour utiliser le protocole de connexion approprié (TCP ou UDP) pour les données entrantes. Pour en savoir plus, consultez Modifier un collecteur.