Se usó la API de Cloud Translation para traducir esta página.

Administra la configuración de los servidores de reenvío con la IU de Google Security Operations

En esta página, se describe cómo crear, administrar y descargar configuraciones de reenvío con la interfaz de usuario (IU) de Google Security Operations. También puedes realizar estas tareas de manera programática con la API de Forwarder Management.

Convenciones de nombres

En este documento, se usan las siguientes convenciones de nomenclatura:

Security Operations Forwarder de Google: Es el componente de software implementado.
forwarder: Es el nombre corto de una configuración de reenvío cuando se almacena en tu instancia de Google Security Operations.
collector: Es el nombre corto de la configuración de un recopilador cuando se almacena en tu instancia de Google Security Operations.

Agregar reenviadores

Agregar un servidor de reenvío es el primer paso para configurar un servidor de reenvío de Google Security Operations. Agregar un servidor de reenvío te permite hacer lo siguiente:

Nombra una configuración de reenvío.
Especifica los valores de configuración del servidor de reenvío.

Cuando se agrega un nuevo servidor de reenvío, se crea una configuración de reenvío parcialmente completa. Para completar la configuración del servidor de reenvío, debes agregar un recopilador. Después de agregar al menos un recopilador, puedes descargar la configuración de reenvío y, luego, implementarla en una máquina o un dispositivo en el que esté instalado Google Security Operations Forwarder.

En lugar de agregar un servidor de reenvío nuevo, puedes clonar uno o más servidores de reenvío existentes. Para obtener más información, consulta Clona los servidores de reenvío.

Para agregar un nuevo servidor de reenvío, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores.
Haz clic en Agregar nuevo reenvío.
En el campo Nombre del reenvío, escribe un nombre.
Opcional: Expande la sección Valores de configuración y especifica alguna de las siguientes opciones:
- Subir compresión: Selecciona Sí para comprimir los datos de registro antes de que se suban a Google Security Operations. El valor predeterminado es No. Para obtener detalles sobre la compresión de datos, consulta Cómo subir la compresión.
- Espacio de nombres del recurso: escribe un espacio de nombres que identifique los registros que recopila este servidor de reenvío. Este espacio de nombres se aplicará a todos los recopiladores que se agreguen a este reenviador, a menos que especifiques un espacio de nombres para un colector a nivel de colector. Si especificas un espacio de nombres a nivel del reenviador y del colector, se usa el espacio de nombres del colector en lugar del del reenviador para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
- Clave de etiqueta y Valor de la etiqueta: Escribe una clave y un valor. Si lo deseas, también puedes hacer clic en Agregar etiqueta nueva para agregar uno o más pares clave-valor de etiqueta adicionales. Esta es una configuración global que se aplica al objeto de reenvío y a sus recopiladores, a menos que se anule a nivel del recopilador. Para obtener más detalles, consulta Etiquetas.
- Descripción del filtro, Expresión regular y Comportamiento del filtro: agrega filtros que filtren los registros según la expresión regular (sintaxis RE2) que coincida con cada línea entrante del registro sin procesar. El comportamiento del filtro determina si se aplica allow o block la línea entrante en caso de una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el comportamiento en una coincidencia es block la línea entrante y, luego, continuar evaluando la siguiente línea para encontrar una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.
(Solo para la colección Syslog) Opcional: Activa o desactiva la Configuración del servidor para configurar el servidor HTTP integrado del servidor de reenvío, que se puede usar para configurar el balanceo de cargas y las opciones de alta disponibilidad para la recopilación de syslog en Linux. Si deseas obtener detalles sobre esta configuración, consulta Configuración del servidor HTTP para la colección de syslog.
Haz clic en Enviar.

Se agrega el reenviador y aparece la ventana Agregar configuración del colector.
En el campo Nombre del colector, escribe un nombre.
Haz clic en el campo Tipo de registro para ver una lista de los tipos de registro y realiza una de las siguientes acciones:
- Si no ves el tipo de registro que deseas, comienza a escribir su nombre en el cuadro para ver más sugerencias. Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.
- Selecciona un tipo de registro de la lista.
Opcional: Expande la sección Valores de configuración y especifica cualquiera de las siguientes opciones:
- Espacio de nombres del recurso: escribe un espacio de nombres que identifique los registros que recopila este recopilador. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del colector en lugar del del servidor de reenvío para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
- Clave de etiqueta y valor de etiqueta: Escribe una clave y un valor. Si lo deseas, también puedes hacer clic en Agregar otro para agregar uno o más pares clave-valor de etiquetas adicionales. Para los registros de este colector, esta configuración anula las etiquetas especificadas en el nivel del reenviador. Para obtener más detalles, consulta Etiquetas.
- Descripción del filtro, Expresión regular y Comportamiento del filtro: agrega filtros que filtren los registros según la expresión regular (sintaxis RE2) que coincida con cada línea entrante del registro sin procesar. El comportamiento del filtro determina si se aplica allow o block la línea entrante en caso de una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el comportamiento en una coincidencia es block la línea entrante y, luego, continuar evaluando la siguiente línea para encontrar una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.
Opcional: Expande la sección Configuración avanzada y especifica alguna de las siguientes opciones:
- Máx. de segundos por lote: La cantidad de segundos entre lotes. El valor predeterminado 10.
- Máx. de bytes por lote: La cantidad de bytes en cola antes de la carga por lotes de reenvío. El valor predeterminado es 1048576.
Búfer de disco: Establece el botón de activación en activado (opcional) para habilitar el almacenamiento en búfer de disco para el colector. Para obtener detalles sobre el almacenamiento en búfer de disco, consulta Almacenamiento en búfer de disco. Cuando se habilita, puedes especificar la siguiente configuración:
- Directory path: Es la ruta de acceso al directorio de los archivos escritos.
- Máx. de bytes del búfer de archivo: El tamaño máximo del disco que usa el colector antes de que los mensajes pendientes se almacenen en el búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.
Haz clic en el campo Tipo de colector y selecciona un tipo de colector. Cada tipo de recopilador tiene sus propios parámetros de configuración que puedes establecer. Para obtener detalles sobre los tipos de recopilador y su configuración, consulta Configuración del tipo de colector.
Haz clic en Enviar.

Agregar recopiladores

Puedes agregar uno o más recopiladores a un servidor de reenvío existente.

Agregar un recopilador te permite hacer lo siguiente:

Asigna un nombre al recopilador.
Especifica el tipo de registro que se debe recopilar, como firewall panorámico, firewall de Cisco ASA y otros.
Especifica el tipo de colector: File, Kafka, PCAP, Splunk, Syslog o WebProxy.
Especifica los valores de configuración del recopilador.

Después de agregar al menos un recopilador a un servidor de reenvío, puedes descargar la configuración de reenvío y, luego, implementarla en una máquina o un dispositivo en el que esté instalado el servicio de reenvío de Google Security Operations.

Para agregar un recopilador nuevo a un reenviador, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores.
En la página Forwarders, busca el servidor de reenvío que deseas. Si la lista de servidores de reenvío es larga, usa el campo Buscar.
Mantén el puntero sobre el objeto de reenvío para el que deseas agregar un recopilador. Se muestra el ícono del menú de expansión .
Haz clic en el ícono del menú desplegable .
Elige Agregar nuevo recopilador.
En el campo Nombre del colector, escribe un nombre.
Haz clic en el campo Tipo de registro para ver una lista de los tipos de registro y realiza una de las siguientes acciones:
- Si no ves el tipo de registro que deseas, comienza a escribir su nombre en el cuadro para ver más sugerencias. Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.
- Selecciona un tipo de registro de la lista.
Opcional: Expande la sección Valores de configuración y especifica cualquiera de las siguientes opciones:
- Espacio de nombres del recurso: escribe un espacio de nombres que identifique los registros que recopila este recopilador. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del colector en lugar del del servidor de reenvío para los registros de ese colector. Para obtener más información sobre los espacios de nombres de los recursos, consulta Espacios de nombres de los recursos.
- Clave de etiqueta y valor de etiqueta: Escribe una clave y un valor. Si lo deseas, también puedes hacer clic en Agregar otro para agregar uno o más pares clave-valor de etiquetas adicionales. Para los registros de este colector, esta configuración anula las etiquetas especificadas en el nivel del reenviador. Para obtener más detalles, consulta Etiquetas.
- Descripción del filtro, Expresión regular y Comportamiento del filtro: agrega filtros que filtren los registros según la expresión regular (sintaxis RE2) que coincida con cada línea entrante del registro sin procesar. El comportamiento del filtro determina si se aplica allow o block la línea entrante en caso de una coincidencia. De forma predeterminada, incluso cuando el comportamiento del filtro es unspecified, el comportamiento en una coincidencia es block la línea entrante y, luego, continuar evaluando la siguiente línea para encontrar una coincidencia. Para obtener más información, consulta Filtros de expresiones regulares.
Opcional: Expande la sección Configuración avanzada y especifica alguna de las siguientes opciones:
- Máx. de segundos por lote: La cantidad de segundos entre lotes. El valor predeterminado 10.
- Máx. de bytes por lote: La cantidad de bytes en cola antes de la carga por lotes de reenvío. El valor predeterminado es 1048576.
Búfer de disco: Establece el botón de activación en activado (opcional) para habilitar el almacenamiento en búfer de disco para el colector. Para obtener detalles sobre el almacenamiento en búfer de disco, consulta Almacenamiento en búfer de disco. Cuando se habilita, puedes especificar la siguiente configuración:
- Directory path: Es la ruta de acceso al directorio de los archivos escritos.
- Máx. de bytes del búfer de archivo: El tamaño máximo del disco que usa el colector antes de que los mensajes pendientes se almacenen en el búfer en el disco. El valor predeterminado es 1073741824. La cantidad máxima es 4294967296.
Haz clic en el campo Tipo de colector y selecciona un tipo de colector. Cada tipo de recopilador tiene sus propios parámetros de configuración que puedes establecer. Para obtener detalles sobre los tipos de recopilador y su configuración, consulta Configuración del tipo de colector.
Haz clic en Enviar.

Administrar servidores de reenvío

Genera una lista de los servidores de reenvío en una instancia de Google Security Operations

Para enumerar los servidores de reenvío en una instancia de Google Security Operations, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
Opcional: Para ordenar la lista, haz clic en las columnas Nombre o Última actualización.

También puedes usar el campo de búsqueda para limitar los resultados de tu lista.

Clonadores de reenvío

La clonación te permite crear una copia de una o más configuraciones de reenvío.

Para clonar los servidores de reenvío, sigue estos pasos:

En la página Forwarders, selecciona la casilla de verificación de cada reenviador que quieras clonar.
Haz clic en el ícono del menú desplegable .
Selecciona Clonar seleccionada.
Haz clic en Clonar. Se agrega una copia de cada reenviador.

Edita una configuración de reenviador

Para editar la configuración de un servidor de reenvío, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
Mantén el puntero sobre el objeto de reenvío para el que deseas editar la configuración. Se muestra el ícono del menú de expansión .
Haz clic en el ícono del menú desplegable .
Selecciona Edit Forwarder configuration.
Realiza los cambios en la configuración. Para obtener más información, consulta los pasos de configuración en el procedimiento para agregar servidores de reenvío.
Haz clic en Enviar.

Borrar reenviadores

Para borrar los servidores de reenvío, sigue estos pasos:

En la página Forwarders, selecciona la casilla de verificación de cada reenviador que quieras borrar.
Haz clic en el ícono del menú desplegable .
Selecciona Borrar elementos seleccionados.
Haz clic en Borrar selección.

Administrar recopiladores

Obtén una lista de los recopiladores en una instancia de Google Security Operations

Para enumerar los recopiladores en una instancia de Google Security Operations, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
Haz clic en la flecha de expansión junto al encabezado de la columna Nombre. Esto expande todos los servidores de reenvío y muestra hasta cinco recopiladores para cada servidor de reenvío.
Si un servidor de reenvío tiene más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.

Edita la configuración de un colector

Para editar la configuración de un recopilador, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
Haz clic en la flecha de expansión del servidor de reenvío para el que deseas editar un recopilador.
Si hay más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.
Mantén el puntero sobre el recopilador para el que deseas editar la configuración. Aparecerá el vínculo Editar.
Haz clic en Editar.
Realiza los cambios en la configuración. Si deseas obtener más información, consulta los pasos de configuración en el procedimiento para agregar recopiladores.
Haz clic en Enviar.

Borra un recopilador

Para borrar un recopilador, sigue estos pasos:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
Haz clic en la flecha de expansión del servidor de reenvío en el que deseas borrar un recopilador.
Si hay más de cinco recopiladores, haz clic en el vínculo Ver todos los recopiladores.
Mantén el puntero sobre el recopilador para el que deseas editar la configuración. Aparecerá el vínculo Borrar.
Haz clic en el vínculo Borrar.
Para confirmar la acción, haz clic en el botón Borrar.

Descarga los archivos de configuración

La descarga de un servidor de reenvío requiere al menos un recopilador. Si intentas descargar un servidor de reenvío sin un recopilador, se mostrará un error.

Puedes descargar el archivo de configuración de reenvío (.conf), el archivo de autenticación (_auth.conf) o ambos para cualquier servidor de reenvío que aparezca en tu instancia de Google Security Operations, siempre y cuando tenga al menos un recopilador. Después de descargar los archivos, deberás implementarlos en el sistema Windows o Linux en el que reside el Forwarder de Google Security Operations.

Para descargar los archivos de configuración de reenvío, haz lo siguiente:

En la barra de navegación, haz clic en Configuración.
En Configuración, haz clic en Reenviadores. La página muestra la lista de servidores de reenvío.
En la página Forwarders, busca el servidor de reenvío que deseas. Si la lista de servidores de reenvío es larga, usa el campo Buscar.
Mantén el puntero sobre el servidor de reenvío para el que deseas descargar los archivos de configuración. Se muestra el ícono del menú de expansión .
Haz clic en el ícono del menú desplegable .
Selecciona Descargar.
En el diálogo Download Forwarder configuration, realiza una de las siguientes acciones:
- Para descargar el archivo de configuración de reenvío, haz clic en el ícono de descarga junto al tipo de archivo .conf.
- Para descargar el archivo de autenticación de reenvío, haz clic en el ícono de descarga junto al tipo de archivo _auth.conf.
- Para descargar ambos archivos, haz clic en Descargar todo.

Referencia de los parámetros de configuración

Los parámetros de configuración de los servidores de reenvío incluyen uno o más recopiladores.

En el nivel de reenvío, puedes establecer los siguientes parámetros de configuración:

Subir compresión

Puedes establecer las siguientes opciones de configuración en el nivel de reenvío y el de colector. Para comprender el resultado de la configuración en ambos niveles, consulta la sección correspondiente.

Espacios de nombres de recursos
Etiquetas
Filtros de expresiones regulares
Configuración del servidor HTTP para la colección syslog

Puedes establecer los siguientes parámetros de configuración en el nivel del recopilador:

Tipo de registro
Almacenamiento en búfer de disco
Configuración del tipo de colector

Subir compresión

Configuración predeterminada: Habilitado

Puedes configurar la compresión de carga para un reenviador, pero no para un colector. Cuando se habilita, este parámetro de configuración comprime los registros antes de que se suban a Google Security Operations. Esto reduce el consumo del ancho de banda de red durante la transferencia a Google Security Operations. Sin embargo, la compresión puede aumentar el uso de la CPU.

La compensación entre el uso del ancho de banda y de la CPU depende de muchos factores, incluidos el tipo de datos de registro, la compresibilidad de esos datos, la disponibilidad de los ciclos de la CPU en el host que ejecuta el servidor de reenvío y la necesidad de reducir el consumo de ancho de banda de la red. Por ejemplo, los registros basados en texto se comprimen bien y pueden proporcionar ahorros de ancho de banda considerables con poco uso de CPU. Sin embargo, las cargas útiles encriptadas de paquetes sin procesar no se comprimen bien y generan un mayor uso de CPU.

Espacios de nombres de recursos

Predeterminado: Si no se especifica, el campo estará vacío.

Puedes configurar un espacio de nombres de recursos para un reenviador, un colector o ambos. Puedes usar un espacio de nombres para identificar registros de segmentos de red distintos y solucionar conflictos de direcciones IP superpuestas. Cualquier espacio de nombres que configures aparecerá con los recursos asociados en la interfaz de usuario de Google Security Operations. También puedes buscar espacios de nombres con la función de búsqueda de Google Security Operations.

Puedes especificar un espacio de nombres para un servidor de reenvío y diferentes espacios de nombres para uno o más recopiladores del servidor de reenvío. Si se especifica un espacio de nombres para un colector, se usa el espacio de nombres del colector en lugar del espacio de nombres del reenviador para los registros de ese colector.

Para obtener información sobre el uso de espacios de nombres, consulta Espacios de nombres de recursos.

Etiquetas

Predeterminado: Si no se especifica, los campos estarán vacíos.

Puedes configurar etiquetas para un reenviador, un colector o ambos. Las etiquetas se usan para adjuntar metadatos arbitrarios a los registros mediante pares clave-valor. Las etiquetas se pueden configurar para todo un servidor de reenvío o dentro de un recopilador específico de un servidor de reenvío. Si se proporcionan ambas, las etiquetas se combinan con las claves del recopilador y tienen prioridad sobre las claves del reenvío si las claves se superponen.

Filtros de expresiones regulares

Predeterminado: Si no se especifica, los campos estarán vacíos.

Puedes configurar filtros de expresiones regulares para un reenviador, un colector o ambos. Los filtros de expresiones regulares te permiten bloquear o permitir líneas entrantes de un registro sin procesar que coincidan con la expresión.

Los filtros usan la sintaxis RE2.

Los filtros deben incluir una expresión regular y, de forma opcional, definir un comportamiento cuando haya una coincidencia. El comportamiento predeterminado en una coincidencia es el bloqueo (también puedes configurarlo de forma explícita como bloqueo).

De manera alternativa, puedes especificar filtros con el comportamiento allow. Si especificas algún filtro de permiso, el reenviador bloquea los registros que no coinciden con al menos un filtro de permiso.

Es posible definir un número arbitrario de filtros. Los filtros de bloqueo tienen prioridad sobre los de permiso.

Cuando se definen filtros, se les debe asignar un nombre. Los nombres de los filtros activos se informan a Google Security Operations mediante métricas de estado de reenvío. Los filtros definidos en el nivel del reenviador se combinan con los definidos en el nivel del colector. Los filtros a nivel del colector tienen prioridad en los casos de nombres en conflicto. Si no se definen filtros a nivel del reenviador o del colector, el comportamiento es permitirlos todos.

Configuración del servidor HTTP para la colección syslog

El Forwarder de Google Security Operations se puede implementar en un entorno en el que se instala un balanceador de cargas de capa 4 entre la fuente de datos y las instancias de reenvío. Esto te permite distribuir la recopilación de registros entre varios servidores de reenvío o enviar registros a un servidor de reenvío diferente si uno falla. Esta función solo es compatible con el tipo de colección syslog.

El servidor de reenvío incluye un servidor HTTP integrado que responde a las verificaciones de estado HTTP del balanceador de cargas. El servidor HTTP también ayuda a garantizar que los registros no se pierdan durante el inicio o el cierre de un servidor de reenvío.

La configuración del servidor en las configuraciones de reenvío admite la configuración de duraciones de tiempo de espera y códigos de estado que se muestran en respuesta a las verificaciones de estado recibidas en el programador de contenedores y en implementaciones basadas en la organización, y desde balanceadores de cargas tradicionales.

Usa las siguientes rutas de URL para las verificaciones de estado, preparación y funcionamiento. Los valores de <host:port> se definen en la configuración del servidor de reenvío.

http://<host:port>/meta/available: verificaciones de actividad para organizadores y programadores de contenedores, como Kubernetes
http://<host:port>/meta/ready: verificaciones de preparación y verificaciones de estado de balanceadores de cargas tradicionales

Parámetro de configuración	Descripción
Tiempo de espera ordenado	La cantidad de tiempo que aún se aceptan conexiones nuevas después de que el reenvío muestra un estado no listo en respuesta a una verificación de estado. Este también es el tiempo de espera entre la recepción de una señal para que se detenga y el comienzo real del apagado del servidor. Esto le da tiempo al balanceador de cargas para quitar el servidor de reenvío del grupo. Los valores válidos se indican en segundos. Por ejemplo, para especificar 10 segundos, escribe `10.`. No se permiten valores decimales. Predeterminado: 15 segundos
Tiempo de espera del vaciado	Es la cantidad de tiempo que el servidor de reenvío espera a que las conexiones activas se cierren de forma correcta por su cuenta antes de que el servidor las cierre. Por ejemplo, para especificar 5 segundos, escribe `5.`. No se permiten valores decimales. Predeterminado: 10 segundos
Puerto	El número de puerto que el servidor HTTP escucha para las verificaciones de estado del balanceador de cargas. El valor debe estar entre 1024 y 65535. Predeterminado: 8080
Dirección IP o nombre de host	La dirección IP, o un nombre de host que se pueda resolver en una dirección IP, que el servidor debe escuchar. Predeterminado: 0.0.0.0 (el sistema local)
Tiempo de espera de lectura	Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo permitida para leer la solicitud completa, tanto el encabezado como el cuerpo. Puedes configurar el campo read timeout y read header timeout. Predeterminado: 3 segundos
Tiempo de espera del encabezado de lectura	Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo permitida para leer los encabezados de la solicitud. El plazo de lectura de la conexión se restablece después de leer el encabezado. Predeterminado: 3 segundos
Tiempo de espera de escritura	Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. El tiempo máximo permitido para enviar una respuesta. Se restablece cuando se lee un nuevo encabezado de la solicitud. Predeterminado: 3 segundos
Tiempo de espera inactivo	Se usa para ajustar el servidor HTTP. Por lo general, no es necesario cambiar de la configuración predeterminada. La cantidad máxima de tiempo que se debe esperar la siguiente solicitud cuando las conexiones inactivas están habilitadas. Si el campo idle timeout se establece en cero, se usa el valor del campo read timeout. Si ambos son cero, se usa el campo read_header timeout . Predeterminado: 3 segundos
Código de estado disponible	El código de estado que muestra el servidor de reenvío cuando se recibe una verificación de funcionamiento y el servidor de reenvío está disponible. Los programadores y organizadores de contenedores, como Kubernetes, a menudo envían verificaciones de actividad. Predeterminado: 204
Código de estado Listo	El código de estado que muestra el reenviador cuando está listo para aceptar tráfico en cualquiera de las siguientes situaciones: Se recibe una verificación de preparación de un organizador o programador de contenedores, como Kubernetes. Se recibe una verificación de estado de un balanceador de cargas tradicional. Configuración predeterminada: 204
El código de estado no está listo	El código de estado que muestra el reenviador cuando no está listo para aceptar tráfico. Predeterminado: 503

Tipo de registro

Para obtener una lista completa de los tipos de registros admitidos, consulta Conjuntos de datos admitidos.

Almacenamiento en búfer del disco

El almacenamiento en búfer del disco te permite almacenar en búfer los mensajes pendientes en el disco en lugar de en la memoria. Los mensajes pendientes se pueden almacenar en caso de que falle el servidor de reenvío o el host subyacente. Ten en cuenta que habilitar el almacenamiento en búfer del disco puede afectar el rendimiento.

Si el almacenamiento en búfer del disco está inhabilitado, el colector usa 1 GB de memoria (RAM) para los registros que recopila. Puedes especificar el máximo con el parámetro Máx. de bytes del búfer de archivo en la configuración del colector. Esto determina el tamaño máximo de RAM que usa el colector antes de que los mensajes pendientes se almacenen en el búfer en el disco. El valor predeterminado es 1073741824. El máximo es 4294967296.

Si ejecutas el servidor de reenvío con Docker, Google recomienda activar un volumen separado del volumen de configuración para fines de aislamiento. Además, cada entrada debe aislarse con su propio directorio o volumen para evitar conflictos.

Configuración del tipo de recopilador

Cada configuración de colector debe especificar un tipo de colector. En esta sección, se describen los tipos de colector y su configuración.

Archivo
Kafka
Pcap
Splunk
Registros del sistema
WebProxy

Archivo

Usa el tipo de colector file para subir registros desde un solo archivo de registro.

Campo	Campo opcional o obligatorio para este tipo	Descripción
Ruta de acceso al archivo	Obligatorio	La ruta de acceso del directorio y el nombre de archivo. Por ejemplo: /opt/chronicle/edr/output/sample.txt

Campo

Campo opcional o obligatorio para este tipo

Descripción

Ruta de acceso al archivo

Obligatorio

La ruta de acceso del directorio y el nombre de archivo. Por ejemplo:

/opt/chronicle/edr/output/sample.txt

Kafka

Usar el tipo de colector kafka para transferir datos de los temas de Kafka Los grupos de consumidores de Kafka se aprovechan para permitirte implementar hasta tres Google Security Operations Forwarders para extraer datos del mismo tema de Kafka. Para obtener más información, consulta Kafka. Para obtener más información sobre los grupos de consumidores de Kafka, consulta Consumidor de Kafka.

Campo	Obligatorio u opcional para este tipo	Descripción
Nombre de usuario	Obligatorio	El nombre de usuario de una identidad que se usa para la autenticación.
Contraseña	Obligatorio	La contraseña de la cuenta asociada con el nombre de usuario.
Tema	Obligatorio	El tema de Kafka desde el que se transfieren datos.
ID del grupo	Obligatorio	Un ID de grupo
Tiempo de espera	Obligatorio	La cantidad máxima de segundos que un marcado esperará a que se complete una conexión. Valor predeterminado: 60
Agentes	Opcional	Ingresa un agente en el cuadro de texto. Por ejemplo: broker-1:9092 Haz clic en Agregar otro para agregar otro agente. Nota: Durante una operación de actualización, se reemplazan todos los valores. Por lo tanto, para actualizar una lista de agentes para agregar un agente nuevo, especifica todos los agentes existentes y el nuevo.
Certificado TLS	Obligatorio	La ruta de acceso y el nombre de archivo del certificado. Por ejemplo: /path/to/cert.pem
Clave de certificado TLS	Obligatorio	La ruta de acceso y el nombre del archivo de claves del certificado. Por ejemplo: /path/to/cert.key
Versión mínima de TLS	Obligatorio	La versión mínima de TLS. Ejemplo: TLSv1_3
Omitir verificación no segura de TLS	Obligatorio	Habilita la verificación de la certificación SSL. Configuración predeterminada: Inhabilitada

Pcap

En esta sección, se abarcan los siguientes temas:

Usa pcap en Windows
Usa pcap en Linux
Configuración del colector para pcap

Usa pcap en Windows

El servidor de reenvío de Google Security Operations puede capturar paquetes directamente desde una interfaz de red mediante Npcap en sistemas Windows.

Comunícate con el equipo de asistencia de Google Security Operations para actualizar el archivo de configuración del servidor de reenvío de Google Security Operations para admitir la captura de paquetes.

Para ejecutar un servidor de reenvío de captura de paquetes (PCAP), necesitas lo siguiente:

Instala Npcap en el host de Microsoft Windows.
En el host de Windows, otorga privilegios de administrador o raíz de reenvío de Google Security Operations para supervisar la interfaz de red.
No se necesitan opciones de línea de comandos.
En la instalación de Npcap, habilita el modo de compatibilidad de WinPcap.

Usa pcap en Linux

Usa el tipo de colector pcap para capturar paquetes directamente desde una interfaz de red con libcap en Linux. Para obtener más información sobre libcap, consulta la página del manual de libcap: Linux.

Los paquetes se capturan y se envían a Google Security Operations en lugar de entradas de registro. La captura de paquetes se controla solo desde una interfaz local.

Google Security Operations configura el servidor de reenvío de Google Security Operations con la expresión de filtro de paquetes de Berkeley (BPF) que se usa cuando se capturan paquetes (por ejemplo, el puerto 53 y no el host local). Para obtener más información, consulta Filtros de paquetes de Berkeley.

Configuración del recopilador para pcap

La misma configuración de colector se aplica a un host de Linux o de Windows.

Campo Obligatorio u opcional para este tipo Descripción

Interfaz de red

Obligatorio

Campo	Obligatorio u opcional para este tipo	Descripción
Interfaz de red	Obligatorio	La interfaz para escuchar los datos de PCAP. Nota: En un host de Windows, este es el GUID de la interfaz que se usa para capturar paquetes. Para obtener este valor, ejecuta getmac.exe en la máquina en la que está instalado el Forwarder de Google Security Operations (ya sea el servidor o la máquina que escucha en el puerto del intervalo). El resultado de getmac.exe comienza con `\Device\Tcpip_`. Reemplázalo por `\Device\NPF_`. Ejemplo: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
Filtro de paquetes de Berkeley	Obligatorio	El filtro de paquetes de Berkeley (BPF) para pcap. Ejemplo: `udp port 53`

La interfaz para escuchar los datos de PCAP.

Nota: En un host de Windows, este es el GUID de la interfaz que se usa para capturar paquetes. Para obtener este valor, ejecuta getmac.exe en la máquina en la que está instalado el Forwarder de Google Security Operations (ya sea el servidor o la máquina que escucha en el puerto del intervalo). El resultado de getmac.exe comienza con \Device\Tcpip_. Reemplázalo por \Device\NPF_.

Ejemplo:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de paquetes de Berkeley Obligatorio El filtro de paquetes de Berkeley (BPF) para pcap.

Ejemplo: udp port 53

Splunk

Usa el tipo de recopilador splunk para recopilar datos de Splunk.

Campo	Obligatorio u opcional para este tipo	Descripción
Nombre de usuario	Obligatorio	El nombre de usuario de una identidad que se usa para la autenticación.
Contraseña	Obligatorio	La contraseña de la cuenta identificada por el nombre de usuario.
Host	Obligatorio	El host o la dirección IP de la API de REST de Splunk. Ejemplo: `https://10.0.113.15`
Puerto	Obligatorio	El puerto de la API de REST de Splunk.
Tamaño mínimo de la ventana	Obligatorio	El intervalo de tiempo mínimo en segundos pasados a la consulta de Splunk. Este parámetro se usa para el ajuste si el requisito es cambiar la frecuencia con la que se consulta el servidor de Splunk cuando el servidor de reenvío está en estado estable. Además, cuando hay un retraso, la llamada a la API de Splunk se puede realizar varias veces. Valor predeterminado: 10
Tamaño máximo de la ventana	Obligatorio	El intervalo de tiempo máximo en segundos pasado a la consulta de Splunk. Este parámetro se usa para el ajuste cuando hay un retraso o si se requieren más datos por consulta. Cambia este parámetro (igual o mayor que) cuando cambies el parámetro mínimo. Pueden ocurrir casos de retraso si una llamada de consulta de Splunk tarda más que el tamaño máximo de ventana. Nota: Los intervalos de tiempo nunca se superponen cuando se consulta el servidor de Splunk. El intervalo de tiempo consultado siempre está entre los parámetros de período mínimo y máximo. Valor predeterminado: 30
String de consulta	Obligatorio	La consulta que se usa para filtrar registros en Splunk. Ejemplo: `search index=* sourcetype=dns`
Modo de consulta	Obligatorio	El modo de consulta de Splunk. Ejemplo: `realtime`
Se ignoró el certificado	Opcional	Si se habilita, el certificado se ignora. Configuración predeterminada: Inhabilitada

Syslog

Usa el tipo de colector syslog para recopilar datos de syslog. Puedes configurar cualquier dispositivo o servidor que admita el envío de datos de syslog a través de una conexión TCP o UDP para reenviar sus datos al Forwarder de Google Security Operations. Puedes controlar los datos exactos que el dispositivo o el servidor envía a Google Security Operations Forwarder. Así, Google Security Operations Forwarder puede reenviar los datos a Google Security Operations.

Campo	Obligatorio u opcional para este tipo	Descripción
Protocolo	Obligatorio	El protocolo de conexión que usará el recopilador para escuchar datos de syslog. Estos son los valores válidos: `TCP` `UDP`
Dirección	Obligatorio	La dirección IP de destino o el nombre de host donde reside el recopilador y escucha los datos de syslog.
Puerto	Obligatorio	El puerto de destino donde reside el colector y detecta datos de syslog.
Tamaño del búfer	Obligatorio	El tamaño en bytes del búfer del socket. El valor predeterminado para TCP es 65536. El valor predeterminado para UDP es 8192.
Tiempo de espera de la conexión	Obligatorio	La cantidad de segundos de inactividad después de los cuales se interrumpe la conexión TCP. Valor predeterminado: 60
Certificado TLS	Obligatorio	La ruta de acceso y el nombre de archivo del certificado. Por ejemplo: /path/to/cert.pem
Clave de certificado TLS	Obligatorio	La ruta de acceso y el nombre del archivo de claves del certificado. Por ejemplo: /path/to/cert.key
Versión mínima de TLS	Obligatorio	La versión mínima de TLS. Ejemplo: `TLSv1_3`
Omitir verificación no segura de TLS	Obligatorio	Habilita la verificación de la certificación SSL. Configuración predeterminada: Inhabilitada

WebProxy

Además de especificar los valores de campo para Google SecOps Forwarder en Windows, instala la biblioteca Npcap en la máquina o dispositivo de Windows. Esto no es necesario para Google SecOps Forwarder en sistemas Linux.

Campo	Obligatorio u opcional para este tipo	Descripción
Interfaz de red	Obligatorio	La interfaz que se detecta para los datos de proxy web.
Filtro de paquetes de Berkeley	Obligatorio	El filtro de paquetes de Berkeley (BPF) para el proxy web Ejemplo: `udp port 53`

Soluciona problemas

El servidor de reenvío no recibe los datos del syslog

Asegúrate de que la configuración de syslog del colector esté establecida para usar el protocolo de conexión correcto (TCP o UDP) para los datos entrantes. Para obtener más información, consulta Edita un recopilador.