Administra la configuración de los servidores de reenvío con la IU de Chronicle

En esta página, se describe cómo crear, administrar y descargar parámetros de configuración de servidores de reenvío con la interfaz de usuario (IU) de Chronicle. También puedes realizar estas tareas de manera programática con la API de Forwarder Management.

Convenciones de nombres

En este documento, se usan las siguientes convenciones de nomenclatura:

  • Chronicle Forwarder: Es el componente de software implementado.
  • forwarder: Es el nombre corto de la configuración de un servidor de reenvío cuando se almacena en tu instancia de Chronicle.
  • collector: Es el nombre corto de la configuración de un recopilador cuando se almacena en tu instancia de Chronicle.

Agregar servidores de reenvío

El primer paso para configurar Chronicle Forwarder es agregar un servidor de reenvío. Si agregas un servidor de reenvío, podrás hacer lo siguiente:

  • Nombra una configuración de servidor de reenvío.
  • Especifica los valores de configuración de los servidores de reenvío.

Cuando se agrega un nuevo servidor de reenvío, se crea una configuración de reenvío parcialmente completa. Para completar la configuración del servidor de reenvío, debes agregar un recopilador. Después de agregar al menos un recopilador, puedes descargar la configuración del servidor de reenvío y, luego, implementarla en una máquina o dispositivo en el que esté instalado Chronicle Forwarder.

En lugar de agregar un servidor de reenvío nuevo, puedes clonar uno o más servidores de reenvío existentes. Para obtener más información, consulta Clonar reenviadores.

Para agregar un nuevo servidor de reenvío, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders.
  3. Haz clic en Agregar nuevo servidor de reenvío.
  4. Escribe un nombre en el campo Forwarder name.

  5. Opcional: Expande la sección Valores de configuración y especifica cualquiera de los siguientes valores:

    • Subir compresión: Selecciona para comprimir los datos de registro antes de que se suban a Chronicle. El valor predeterminado es No. Para obtener más información sobre la compresión de datos, consulta Cómo subir la compresión.
    • Espacio de nombres de recursos: Escribe un espacio de nombres que identifique los registros que recopila este servidor de reenvío. Este espacio de nombres se aplicará a todos los colectores que se agreguen a este servidor de reenvío, a menos que especifiques un espacio de nombres para un colector a nivel de colector. Si especificas un espacio de nombres en el nivel del servidor de reenvío y en el de colector, se usa el espacio de nombres del colector en lugar del espacio de nombres del reenviador para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
    • Clave de la etiqueta y Valor de la etiqueta:Escribe una clave y un valor. Si lo deseas, también puedes hacer clic en Agregar etiqueta nueva para agregar uno o más pares clave-valor de etiquetas adicionales. Esta es una configuración global que se aplica al recolector de reenvíos y a los colectores del reenviador, a menos que se anule a nivel del colector. Para obtener más detalles, consulta Etiquetas.
    • Descripción del filtro, Expresión regular y Comportamiento del filtro: Agrega filtros que filtren los registros según las coincidencias de la expresión regular (sintaxis RE2) en cada línea entrante del registro sin procesar. El comportamiento del filtro determina si allow o block la línea entrante si hay una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el comportamiento en una coincidencia es block la línea entrante y, luego, continuar con la evaluación de la siguiente línea para una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.

  6. (Solo recopilación Syslog) Opcional: Activa o desactiva la Configuración del servidor para configurar el servidor HTTP integrado del servidor de reenvío, que se puede usar a fin de configurar el balanceo de cargas y las opciones de alta disponibilidad para la recopilación syslog en Linux. Si deseas obtener detalles sobre esta configuración, consulta la configuración del servidor HTTP para la recopilación syslog.

  7. Haz clic en Enviar.

    Se agrega el servidor de reenvío y se muestra la ventana Agregar configuración del colector.

  8. Escribe un nombre en el campo Nombre del recopilador.

  9. Haz clic en el campo Tipo de registro para ver una lista de tipos de registros y realiza una de las siguientes acciones:

    • Si no ves el tipo de registro que deseas, comienza a escribir su nombre en el cuadro para ver más sugerencias. Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.
    • Selecciona un tipo de registro de la lista.

  10. Opcional: Expande la sección Valores de configuración y especifica cualquiera de las siguientes opciones:

    • Espacio de nombres de recursos: Escribe un espacio de nombres que identifique los registros que recopila este colector. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del colector en lugar del espacio de nombres del servidor de reenvío para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
    • Clave de la etiqueta y valor de la etiqueta: Escribe una clave y un valor. Si lo deseas, también puedes hacer clic en Agregar otro para agregar uno o más pares clave-valor de etiquetas adicionales. Para los registros de este recopilador, esta configuración anula las etiquetas especificadas en el nivel de reenvío. Para obtener más detalles, consulta Etiquetas.
    • Descripción del filtro, Expresión regular y Comportamiento del filtro: Agrega filtros que filtren los registros según la expresión regular (sintaxis RE2) en función de cada línea entrante del registro sin procesar. El comportamiento del filtro determina si allow o block la línea entrante si hay una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el comportamiento en una coincidencia es block la línea entrante y, luego, continuar con la evaluación de la siguiente línea para una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.

  11. Opcional: Expande la sección Configuración avanzada y especifica cualquiera de las siguientes opciones:

    • Cantidad máxima de segundos por lote: La cantidad de segundos entre lotes. El valor predeterminado 10.
    • Cantidad máxima de bytes por lote: la cantidad de bytes en cola antes de la carga por lotes de reenvío. El valor predeterminado es 1048576.

  12. Opcional: Búfer de disco: Activa el botón de activación a fin de habilitar el almacenamiento en búfer de disco para el colector. Para obtener detalles sobre el almacenamiento en búfer del disco, consulta Almacenamiento en búfer de disco. Cuando se habilita, puedes especificar las siguientes opciones de configuración:

    • Ruta de acceso al directorio: La ruta de acceso al directorio para los archivos escritos.
    • Bytes máximos del búfer de archivo: Es el tamaño máximo de disco que usa el colector antes de que los mensajes pendientes se almacenen en búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.

  13. Haz clic en el campo Tipo de recopilador y selecciona uno. Cada tipo de colector tiene sus propias opciones de configuración que puedes definir. Para obtener detalles sobre los tipos de colector y su configuración, consulta Configuración del tipo de colector.

  14. Haz clic en Enviar.

Agregar recopiladores

Puedes agregar uno o más recopiladores a un servidor de reenvío existente.

Si agregas un recopilador, podrás hacer lo siguiente:

  • Asigna un nombre al recopilador.
  • Especifica el tipo de registro que se recopilará, como Firewall Pan, Cisco ASA y otros.
  • Especifica el tipo de colector: File, Kafka, PCAP, Splunk, Syslog o WebProxy.
  • Especifica los valores de configuración del colector.

Después de agregar al menos un colector a un servidor de reenvío, puedes descargar la configuración de reenvío y, luego, implementarla en una máquina o dispositivo en el que esté instalado Chronicle Forwarder.

Para agregar un recopilador nuevo a un servidor de reenvío, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders.
  3. En la página Forwarders, busca el servidor de reenvío que deseas. Si la lista de servidores de reenvío es larga, usa el campo Search.
  4. Mantén el puntero sobre el servidor de reenvío al que deseas agregar un recopilador. Aparecerá el ícono de menú para expandir .
  5. Haz clic en el ícono para expandir menú .
  6. Elige Agregar nuevo recopilador.
  7. Escribe un nombre en el campo Nombre del recopilador.

  8. Haz clic en el campo Tipo de registro para ver una lista de tipos de registros y realiza una de las siguientes acciones:

    • Si no ves el tipo de registro que deseas, comienza a escribir su nombre en el cuadro para ver más sugerencias. Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.
    • Selecciona un tipo de registro de la lista.

  9. Opcional: Expande la sección Valores de configuración y especifica cualquiera de las siguientes opciones:

    • Espacio de nombres de recursos: Escribe un espacio de nombres que identifique los registros que recopila este colector. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del colector en lugar del espacio de nombres del servidor de reenvío para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
    • Clave de la etiqueta y valor de la etiqueta: Escribe una clave y un valor. Si lo deseas, también puedes hacer clic en Agregar otro para agregar uno o más pares clave-valor de etiquetas adicionales. Para los registros de este recopilador, esta configuración anula las etiquetas especificadas en el nivel de reenvío. Para obtener más detalles, consulta Etiquetas.
    • Descripción del filtro, Expresión regular y Comportamiento del filtro: Agrega filtros que filtren los registros según la expresión regular (sintaxis RE2) en función de cada línea entrante del registro sin procesar. El comportamiento del filtro determina si allow o block la línea entrante si hay una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el comportamiento en una coincidencia es block la línea entrante y, luego, continuar con la evaluación de la siguiente línea para una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.

  10. Opcional: Expande la sección Configuración avanzada y especifica cualquiera de las siguientes opciones:

    • Cantidad máxima de segundos por lote: La cantidad de segundos entre lotes. El valor predeterminado 10.
    • Cantidad máxima de bytes por lote: la cantidad de bytes en cola antes de la carga por lotes de reenvío. El valor predeterminado es 1048576.

  11. Opcional: Búfer de disco: Activa el botón de activación a fin de habilitar el almacenamiento en búfer de disco para el colector. Para obtener detalles sobre el almacenamiento en búfer del disco, consulta Almacenamiento en búfer de disco. Cuando se habilita, puedes especificar las siguientes opciones de configuración:

    • Ruta de acceso al directorio: La ruta de acceso al directorio para los archivos escritos.
    • Bytes máximos del búfer de archivo: Es el tamaño máximo de disco que usa el colector antes de que los mensajes pendientes se almacenen en búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.

  12. Haz clic en el campo Tipo de recopilador y selecciona uno. Cada tipo de colector tiene sus propias opciones de configuración que puedes definir. Para obtener detalles sobre los tipos de colector y su configuración, consulta Configuración del tipo de colector.

  13. Haz clic en Enviar.

Administra los servidores de reenvío

Obtén una lista de los servidores de reenvío en una instancia de Chronicle

Para generar una lista de los servidores de reenvío en una instancia de Chronicle, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders. La página muestra la lista de servidores de reenvío.
  3. Opcional: Ordena la lista haciendo clic en la columna Nombre o Última actualización.

De manera opcional, usa el campo de búsqueda para limitar los resultados en tu lista.

Reenvíos de clones

La clonación te permite crear una copia de una o más configuraciones de servidores de reenvío.

Sigue estos pasos para clonar los servidores de reenvío:

  1. En la página Forwarders, selecciona la casilla de verificación de cada servidor que desees clonar.

  2. Haz clic en el ícono para expandir menú .

  3. Selecciona Clonar los elementos seleccionados.

  4. Haz clic en Clonar. Se agrega una copia de cada servidor de reenvío.

Editar la configuración de un servidor de reenvío

Para editar la configuración de un servidor de reenvío, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders. La página muestra la lista de servidores de reenvío.

  3. Mantén el puntero sobre el servidor de reenvío para el que deseas editar la configuración. Aparecerá el ícono de menú para expandir .

  4. Haz clic en el ícono para expandir menú .

  5. Selecciona Editer configuration.

  6. Realiza los cambios en la configuración. Para obtener más información, consulta los pasos de configuración en el procedimiento para agregar servidores de reenvío.

  7. Haz clic en Enviar.

Borrar servidores de reenvío

Sigue estos pasos para borrar los servidores de reenvío:

  1. En la página Forwarders, selecciona la casilla de verificación de cada servidor de reenvío que quieras borrar.

  2. Haz clic en el ícono para expandir menú .

  3. Selecciona Borrar los elementos seleccionados.

  4. Haz clic en Borrar elementos seleccionados.

Administrar recopiladores

Enumerar los recopiladores de una instancia de Chronicle

Para enumerar los recopiladores en una instancia de Chronicle, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders. La página muestra la lista de servidores de reenvío.
  3. Haz clic en la flecha de expansión junto al encabezado de la columna Nombre. Esto expande todos los servidores de reenvío y muestra hasta cinco recolectores para cada uno.
  4. Si un servidor de reenvío tiene más de cinco recopiladores, haz clic en el vínculo See all collection.

Edita la configuración de un colector

Para editar la configuración de un colector, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders. La página muestra la lista de servidores de reenvío.

  3. Haz clic en la flecha de expansión del servidor de reenvío para el que deseas editar un recopilador.

  4. Si hay más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.

  5. Mantén el puntero sobre el recopilador para el que deseas editar la configuración. Aparecerá el vínculo Editar.

  6. Haz clic en Editar.

  7. Realiza los cambios en la configuración. Si deseas obtener más información, consulta los pasos de configuración en el procedimiento para agregar colectores.

  8. Haz clic en Enviar.

Borra un recopilador

Para borrar un recopilador, sigue estos pasos:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders. La página muestra la lista de servidores de reenvío.

  3. Haz clic en la flecha de expansión del servidor de reenvío para el que deseas borrar un recopilador.

  4. Si hay más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.

  5. Mantén el puntero sobre el recopilador para el que deseas editar la configuración. Aparecerá el vínculo Borrar.

  6. Haz clic en el vínculo Borrar.

  7. Para confirmar la acción, haz clic en el botón Borrar.

Descarga los archivos de configuración

La descarga de un servidor de reenvío requiere al menos un recopilador. Si intentas descargar un servidor de reenvío sin un recopilador, recibirás un error.

Puedes descargar el archivo de configuración de reenvío (.conf), el archivo de autenticación (_auth.conf) o ambos para cualquier servidor de reenvío que aparezca en tu instancia de Chronicle, siempre y cuando tenga al menos un recopilador. Después de descargar los archivos, deberás implementarlos en el sistema Windows o Linux en el que reside Chronicle Forwarder.

Para descargar archivos de configuración de Forwarder, haz lo siguiente:

  1. En la barra de navegación, haz clic en Configuración.
  2. En Settings, haz clic en Forwarders. La página muestra la lista de servidores de reenvío.

  3. En la página Forwarders, busca el servidor de reenvío que deseas. Si la lista de servidores de reenvío es larga, usa el campo Search.

  4. Mantén el puntero sobre el servidor de reenvío para el que deseas descargar archivos de configuración. Aparecerá el ícono de menú para expandir .

  5. Haz clic en el ícono para expandir menú .

  6. Selecciona Descargar.

  7. En el cuadro de diálogo Downloader configuration, realiza una de las siguientes acciones:

    • Para descargar el archivo de configuración de servidores de reenvío, haz clic en el ícono de descarga junto al tipo de archivo .conf.
    • Para descargar el archivo de autenticación de servidores de reenvío, haz clic en el ícono de descarga junto al tipo de archivo _auth.conf.
    • Para descargar ambos archivos, haz clic en Descargar todo.

Referencia de los parámetros de configuración

Las configuraciones de los servidores de reenvío incluyen uno o más recopiladores.

Puedes definir las siguientes opciones en el nivel de reenvío:

Puedes establecer la siguiente configuración en el nivel de reenvío y el de colector. Para comprender el resultado de configurar la configuración en ambos niveles, consulta la sección de la configuración.

Puedes establecer las siguientes opciones de configuración en el nivel de recopilador:

Subir compresión

Configuración predeterminada: Habilitada

Puedes configurar la compresión de cargas para un servidor de reenvío, pero no para un recopilador. Cuando se habilita, esta configuración comprime los registros antes de que se suban a Chronicle. Esto reduce el consumo de ancho de banda de red durante la transferencia a Chronicle. Sin embargo, la compresión puede aumentar el uso de la CPU.

La compensación entre el ancho de banda y el uso de CPU depende de muchos factores, incluidos el tipo de datos de registro, la compresión de esos datos, la disponibilidad de ciclos de CPU en el host que ejecuta el servidor de reenvío y la necesidad de reducir el consumo de ancho de banda de red. Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionar ahorros sustanciales de ancho de banda con bajo uso de CPU. Sin embargo, las cargas útiles encriptadas de paquetes sin procesar no se comprimen bien y generan un mayor uso de CPU.

Espacios de nombres de recursos

Predeterminado: Si no se especifica el campo, estará vacío.

Puedes configurar un espacio de nombres de recursos para un servidor de reenvío, un colector o ambos. Puedes usar un espacio de nombres para identificar registros de segmentos de red distintos y quitar conflictos de direcciones IP superpuestas. Todos los espacios de nombres que configures aparecerán con los elementos asociados en la interfaz de usuario de Chronicle. También puedes buscar espacios de nombres con la función Chronicle Search.

Puedes especificar un espacio de nombres para un servidor de reenvío y especificar diferentes espacios de nombres para uno o más colectores del servidor de reenvío. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del colector en lugar del espacio de nombres del reenviador para los registros de ese colector.

Para obtener información sobre el uso de espacios de nombres, consulta Espacios de nombres de recursos.

Etiquetas

Predeterminado: Si no se especifican, los campos estarán vacíos.

Puedes configurar etiquetas para un servidor de reenvío, un colector o ambos. Las etiquetas se usan para adjuntar metadatos arbitrarios a los registros mediante pares clave-valor. Las etiquetas se pueden configurar para un servidor de reenvío completo o dentro de un colector específico de un servidor de reenvío. Si se proporcionan ambas, las etiquetas se combinan con las claves del recopilador que tienen prioridad sobre las claves del servidor de reenvío si las claves se superponen.

Filtros de expresiones regulares

Predeterminado: Si no se especifican, los campos estarán vacíos.

Puedes configurar filtros de expresiones regulares para un servidor de reenvío, un colector o ambos. Los filtros de expresiones regulares te permiten bloquear o permitir líneas entrantes de un registro sin procesar que coinciden con la expresión.

Los filtros usan la sintaxis RE2.

Los filtros deben incluir una expresión regular y, opcionalmente, definir un comportamiento cuando hay una coincidencia. El comportamiento predeterminado en una coincidencia es el bloqueo (también puedes configurarlo de forma explícita como bloque).

También puedes especificar filtros con el comportamiento allow. Si especificas algún filtro de permiso, el servidor de reenvío bloquea los registros que no coinciden con al menos un filtro de permiso.

Es posible definir un número arbitrario de filtros. Los filtros de bloqueo tienen prioridad sobre los filtros de permiso.

Cuando se definen los filtros, se les debe asignar un nombre. Los nombres de los filtros activos se informan a Chronicle mediante métricas de estado de los servidores de reenvío. Los filtros definidos a nivel de servidor de reenvío se combinan con los filtros definidos a nivel de colector. Los filtros a nivel de colector tienen prioridad en los casos de nombres en conflicto. Si no se definen filtros a nivel de servidor de reenvío o de colector, el comportamiento es permitir todo.

Configuración del servidor HTTP para la recopilación syslog

Chronicle Forwarder se puede implementar en un entorno en el que se instala un balanceador de cargas de capa 4 entre la fuente de datos y las instancias de reenvío. Esto te permite distribuir la colección de registros entre varios servidores de reenvío o enviar registros a un servidor de reenvío diferente si uno falla. Esta función solo es compatible con el tipo de colección syslog.

El servidor de reenvío incluye un servidor HTTP integrado que responde a las verificaciones de estado HTTP del balanceador de cargas. El servidor HTTP también ayuda a garantizar que los registros no se pierdan durante el inicio o el cierre de un servidor de reenvío.

La configuración del servidor en la configuración del servidor de reenvío admite la configuración de las duraciones de tiempo de espera y los códigos de estado que se muestran en respuesta a las verificaciones de estado recibidas en el programador de contenedores, las implementaciones basadas en organización y de los balanceadores de cargas tradicionales.

Usa las siguientes rutas de URL para las verificaciones de estado, preparación y funcionamiento. Los valores <host:port> se definen en la configuración del servidor de reenvío.

  • http://<host:port>/meta/available: verificaciones de funcionamiento para organizadores o organizadores de contenedores, como Kubernetes.
  • http://<host:port>/meta/ready: verificaciones de preparación y verificaciones de estado tradicionales del balanceador de cargas
Parámetro de configuración Descripción
Tiempo de espera ordenado La cantidad de tiempo que se aceptan conexiones nuevas después de que el servidor de reenvío muestra un estado no listo en respuesta a una verificación de estado. Este también es el tiempo de espera entre la recepción de una señal para detenerse y el momento en que comienza el cierre del servidor. Esto permite que el balanceador de cargas tenga tiempo de quitar el servidor de reenvío del grupo.

Los valores válidos se expresan en segundos. Por ejemplo, para especificar 10 segundos, el tipo 10. no permite valores decimales.

Configuración predeterminada: 15 segundos
Tiempo de espera del vaciado Es la cantidad de tiempo que el servidor de reenvío espera a que las conexiones activas se cierren de forma correcta por sí solas antes de que el servidor las cierre. Por ejemplo, para especificar 5 segundos, el tipo 5. no permite valores decimales.

Configuración predeterminada: 10 segundos
Puerto El número de puerto en el que escucha el servidor HTTP para las verificaciones de estado del balanceador de cargas. El valor debe ser entre 1024 y 65535.

Predeterminado: 8080
Dirección IP o nombre de host Es la dirección IP, o un nombre de host que se puede resolver en una dirección IP, que el servidor debe escuchar.

Predeterminado: 0.0.0.0 (el sistema local)
Tiempo de espera de lectura Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar la configuración predeterminada. El tiempo máximo permitido para leer toda la solicitud, tanto en el encabezado como en el cuerpo. Puedes establecer el campo de tiempo de espera de lectura y el campo de tiempo de espera del encabezado de lectura.

Configuración predeterminada: 3 segundos
Tiempo de espera del encabezado de lectura Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar la configuración predeterminada. El tiempo máximo permitido para leer encabezados de solicitud. El plazo de lectura de la conexión se restablece después de leer el encabezado.

Configuración predeterminada: 3 segundos
Tiempo de espera de escritura Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar la configuración predeterminada. El tiempo máximo permitido para enviar una respuesta. Se restablece cuando se lee un encabezado de solicitud nuevo.

Configuración predeterminada: 3 segundos
Tiempo de espera inactivo Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar la configuración predeterminada. La cantidad máxima de tiempo que se debe esperar para la próxima solicitud cuando se habilitan las conexiones inactivas. Si el campo idle timeout se establece en cero, se usa el valor del campo read timeout. Si ambos son cero, se usa el campo tiempo de espera del encabezado de lectura .

Configuración predeterminada: 3 segundos
Código de estado disponible El código de estado que muestra el servidor de reenvío cuando se recibe una verificación de funcionamiento y el servidor de reenvío está disponible. Los organizadores y programadores de contenedores, como Kubernetes, suelen enviar verificaciones de funcionamiento.

Predeterminado: 204
Código de estado listo El código de estado que muestra el servidor de reenvío cuando está listo para aceptar tráfico en cualquiera de las siguientes situaciones:
  • Se recibe una verificación de preparación de un organizador o programador de contenedores, como Kubernetes.
  • Se recibe una verificación de estado de un balanceador de cargas tradicional.
Configuración predeterminada: 204
El código de estado no está listo El código de estado que muestra el servidor de reenvío cuando no está listo para aceptar tráfico.

Predeterminado: 503

Tipo de registro

Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.

Almacenamiento en búfer del disco

El almacenamiento en búfer del disco te permite almacenar en búfer los mensajes pendientes en el disco, en lugar de hacerlo en la memoria. Los mensajes pendientes se pueden almacenar en caso de que falle el servidor de reenvío o el host subyacente. Ten en cuenta que habilitar el almacenamiento en búfer en el disco puede afectar el rendimiento.

Si el almacenamiento en búfer de disco está inhabilitado, el recopilador usa 1 GB de memoria (RAM) para los registros que recopila. Puedes especificar el máximo con la configuración Max file buffer bytes en la configuración del colector. Esto determina el tamaño máximo de RAM que usa el colector antes de que los mensajes pendientes se almacenen en búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.

Si ejecutas el servidor de reenvío con Docker, Google recomienda activar un volumen separado de tu volumen de configuración con fines de aislamiento. Además, cada entrada debe aislarse con su propio directorio o volumen para evitar conflictos.

Configuración del tipo de recopilador

Cada configuración de colector debe especificar un tipo de colector. En esta sección, se describen los tipos de colector y su configuración.

Archivo

Usa el tipo de colector file para subir registros desde un solo archivo de registro.

Campo Campo obligatorio u opcional para este tipo Descripción
Ruta de acceso al archivo Requeridos Es la ruta de acceso del directorio y el nombre de archivo. Por ejemplo:


/opt/chronicle/edr/output/sample.txt

Kafka

Usa el tipo de colector kafka para transferir datos desde los temas de Kafka. Los grupos de consumidores de Kafka se aprovechan para permitirte implementar hasta tres Chronicle Forwarders para extraer datos del mismo tema de Kafka. Para obtener más información, consulta Kafka. Para obtener más información sobre los grupos de consumidores de Kafka, consulta Consumidor de Kafka.

Campo Obligatorio u opcional para este tipo Descripción
Nombre de usuario Requeridos El nombre de usuario de una identidad que se usa para la autenticación.
Contraseña (Password) Requeridos La contraseña de la cuenta asociada con el nombre de usuario.
Tema Requeridos El tema de Kafka desde el que se transfieren datos.
ID del grupo Requeridos Un ID de grupo.
Tiempo de espera Requeridos La cantidad máxima de segundos que esperará un marcado para que se complete una conexión.

Configuración predeterminada: 60
Agentes Opcional Ingresa un agente en el cuadro de texto. Por ejemplo:


broker-1:9092


Haz clic en Agregar otro para agregar otro agente.

Nota: Se reemplazan todos los valores durante una operación de actualización. Por lo tanto, para actualizar una lista de agentes y agregar un agente nuevo, especifica todos los agentes existentes y el nuevo.
Certificado TLS Requeridos La ruta de acceso y el nombre de archivo del certificado. Por ejemplo:


/path/to/cert.pem

Clave de certificado TLS Requeridos Es la ruta de acceso y el nombre de archivo de la clave del certificado. Por ejemplo:


/path/to/cert.key

Versión mínima de TLS Requeridos La versión mínima de TLS.

Ejemplo: TLSv1_3
Verificación de omisión no segura de TLS Requeridos Habilita la verificación de certificación SSL.

Configuración predeterminada: inhabilitada

PPP

En esta sección, se abarcan los siguientes temas:

Cómo usar pcap en Windows

El servidor de reenvío de Chronicle puede capturar paquetes directamente desde una interfaz de red mediante Npcap en sistemas Windows.

Comunícate con la asistencia de Chronicle para actualizar el archivo de configuración del servidor de reenvío de Chronicle y admitir la captura de paquetes.

Para ejecutar un servidor de reenvío de captura de paquetes (PCAP), necesitas lo siguiente:

  • Instala Npcap en el host de Microsoft Windows.
  • En el host de Windows, otorga privilegios de administrador o raíz al servidor de reenvío de Chronicle para supervisar la interfaz de red.
  • No se necesitan opciones de línea de comandos.
  • En la instalación de Npcap, habilita el modo de compatibilidad de WinPcap.
Cómo usar pcap en Linux

Usa el tipo de colector pcap para capturar paquetes directamente desde una interfaz de red con libcap en Linux. Para obtener más información sobre libcap, consulta libcap: página del manual de Linux.

Se capturan los paquetes y se envían a Chronicle en lugar de entradas de registro. La captura de paquetes se controla solo desde una interfaz local.

Chronicle configura el servidor de reenvío de Chronicle con la expresión de filtro de paquetes de Berkeley (BPF) que se usa cuando se capturan paquetes (por ejemplo, el puerto 53 y no el host local). Para obtener más información, consulta Filtros de paquetes de Berkeley.

Configuración del colector para pcap

Se aplican los mismos parámetros de configuración del colector en un host de Linux o Windows.

Campo Obligatorio u opcional para este tipo Descripción
Interfaz de red Requeridos La interfaz para escuchar datos de PCAP.

Nota: En un host de Windows, este es el GUID de la interfaz que se usa para capturar paquetes. Para obtener este valor, ejecuta getmac.exe en la máquina en la que está instalado Chronicle Forwarder (ya sea el servidor o la máquina que escucha en el puerto de intervalo). El resultado de getmac.exe comienza con \Device\Tcpip_. Reemplázala por \Device\NPF_.

Ejemplo:


\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de paquetes de Berkeley Requeridos El filtro de paquetes de Berkeley (BPF) para pcap.

Ejemplo: udp port 53

Splunk

Usa el tipo de colector splunk para recopilar datos de Splunk.

Campo Obligatorio u opcional para este tipo Descripción
Nombre de usuario Requeridos El nombre de usuario de una identidad que se usa para la autenticación.
Contraseña (Password) Requeridos La contraseña de la cuenta identificada por el nombre de usuario.
Host Requeridos El host o la dirección IP de la API de REST de Splunk.

Ejemplo: https://10.0.113.15
Puerto Requeridos El puerto de la API de REST de Splunk.
Tamaño mínimo de la ventana Requeridos El intervalo de tiempo mínimo en segundos que se pasan a la consulta de Splunk. Este parámetro se usa para el ajuste si el requisito es cambiar la frecuencia con la que se consulta el servidor de Splunk cuando el servidor de reenvío está en estado estable. Además, cuando hay un retraso, la llamada a la API de Splunk se puede realizar varias veces.

Predeterminado: 10
Tamaño máximo de la ventana Requeridos El intervalo de tiempo máximo en segundos que se pasan a la consulta de Splunk. Este parámetro se usa para el ajuste en casos en los que hay un retraso o si se requieren más datos por consulta.

Cambia este parámetro (igual a o mayor que) cuando cambies el parámetro mínimo. Pueden ocurrir casos de retraso si una llamada a una consulta de Splunk tarda más que el tamaño máximo de ventana.

Nota: Los intervalos de tiempo nunca se superponen cuando se consulta el servidor de Splunk. El intervalo de tiempo consultado siempre está entre los parámetros del período mínimo y máximo.

Predeterminado: 30
String de consulta Requeridos La consulta que se usa para filtrar registros en Splunk.

Ejemplo: search index=* sourcetype=dns
Modo de consulta Requeridos El modo de consulta de Splunk.

Ejemplo: realtime
Certificado ignorado Opcional Si está habilitado, se ignora el certificado.

Configuración predeterminada: inhabilitada

Syslog

Usa el tipo de colector syslog para recopilar datos de syslog. Puedes configurar cualquier dispositivo o servidor que admita el envío de datos de syslog a través de una conexión TCP o UDP para reenviar sus datos a Chronicle Forwarder. Puedes controlar los datos exactos que el dispositivo o servidor envía a Chronicle Forwarder. Luego, Chronicle Forwarder puede reenviar los datos a Chronicle.

Campo Obligatorio u opcional para este tipo Descripción
Protocolo Requeridos El protocolo de conexión que utilizará el colector para escuchar los datos de syslog. Estos son los valores válidos:

  • TCP
  • UDP
Dirección Requeridos La dirección IP de destino o el nombre de host donde reside el colector y detecta los datos de syslog.
Puerto Requeridos El puerto de destino donde reside el colector y escucha los datos de syslog.
Tamaño del búfer Requeridos Es el tamaño en bytes del búfer del socket.

El valor predeterminado para TCP es 65536.
El valor predeterminado para UDP es 8,192.
Tiempo de espera de la conexión Requeridos La cantidad de segundos de inactividad después de los cuales se interrumpe la conexión TCP.

Predeterminado: 60
Certificado TLS Requeridos La ruta de acceso y el nombre de archivo del certificado. Por ejemplo:


/path/to/cert.pem

Clave de certificado TLS Requeridos Es la ruta de acceso y el nombre de archivo de la clave del certificado. Por ejemplo:


/path/to/cert.key

Versión mínima de TLS Requeridos La versión mínima de TLS.

Ejemplo: TLSv1_3
Verificación de omisión no segura de TLS Requeridos Habilita la verificación de certificación SSL.

Configuración predeterminada: inhabilitada

WebProxy

Además de especificar los valores de campo que se muestran a continuación, para Chronicle Forwarder en Windows, instala la biblioteca Npcap en la máquina o el dispositivo de Windows. Esto no es obligatorio para Chronicle Forwarder en los sistemas Linux.

Campo Obligatorio u opcional para este tipo Descripción
Interfaz de red Requeridos La interfaz que se debe escuchar para los datos del proxy web.
Filtro de paquetes de Berkeley Requeridos El filtro de paquetes de Berkeley (BPF) para el proxy web.

Ejemplo: udp port 53

Soluciona problemas

El servidor de reenvío no recibe los datos del Syslog.

Asegúrese de que la configuración del syslog del colector esté configurada para usar el protocolo de conexión correcto (TCP o UDP) para los datos entrantes. Para obtener más información, consulta Edita un recopilador.