Mengelola konfigurasi penerus melalui UI Chronicle
Halaman ini menjelaskan cara membuat, mengelola, dan mendownload konfigurasi penerus menggunakan antarmuka pengguna (UI) Chronicle. Anda juga dapat melakukan tugas ini secara terprogram menggunakan Forwarder Management API.
Konvensi penamaan
Dokumen ini menggunakan konvensi penamaan berikut:
- Chronicle Forwarder: Komponen software yang di-deploy.
- forwarder: Nama pendek untuk konfigurasi forwarder saat disimpan dalam instance Chronicle.
- kolektor: Nama pendek untuk konfigurasi kolektor saat disimpan dalam instance Chronicle.
Tambahkan penerusan
Menambahkan forwarder adalah langkah pertama untuk mengonfigurasi Forwarder Chronicle. Menambahkan penerus memungkinkan Anda melakukan hal berikut:
- Beri nama konfigurasi penerus.
- Tentukan nilai konfigurasi penerus.
Menambahkan penerus baru akan membuat konfigurasi penerus yang lengkap sebagian. Untuk menyelesaikan konfigurasi forwarder, Anda perlu menambahkan kolektor. Setelah menambahkan setidaknya satu kolektor, Anda dapat mendownload konfigurasi forwarder dan men-deploy-nya di mesin atau perangkat tempat Chronicle Forwarder diinstal.
Daripada menambahkan penerusan baru, Anda dapat meng-clone satu atau beberapa penerusan yang ada. Untuk mengetahui detailnya, lihat Meng-clone penerus.
Untuk menambahkan penerusan baru, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan.
- Klik Tambahkan penerus baru.
- Di kolom Nama penerusan, ketik nama.
Opsional: Luaskan bagian Configuration values dan tentukan salah satu nilai berikut:
- Upload compression: Pilih Yes untuk mengompresi data log sebelum diupload ke Chronicle. Defaultnya adalah Tidak. Untuk detail tentang kompresi data, lihat Kompresi upload.
- Name namespace: Ketik namespace yang mengidentifikasi log yang dikumpulkan oleh penerusan ini. Namespace ini akan diterapkan untuk semua kolektor yang ditambahkan ke penerusan ini, kecuali jika Anda menentukan namespace untuk kolektor di tingkat kolektor. Jika Anda menentukan namespace di tingkat penerusan dan tingkat kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut. Untuk informasi selengkapnya tentang namespace aset, lihat Ruang nama aset.
- Kunci label dan Nilai label: Ketik kunci dan nilai. Jika diinginkan, Anda juga dapat mengklik Add new label untuk menambahkan satu atau beberapa key:value pair label tambahan. Ini adalah setelan global yang berlaku untuk kolektor forwarder dan forwarder, kecuali jika diganti di tingkat kolektor. Untuk mengetahui detailnya, lihat Label.
- Deskripsi filter, Ekspresi reguler, dan Perilaku filter:
Menambahkan filter yang memfilter log berdasarkan ekspresi reguler
(sintaksis RE2) yang cocok dengan setiap baris masuk log mentah. Perilaku Filter menentukan apakah akan
allow
ataublock
baris masuk setelah kecocokan. Secara default, termasuk jika perilaku filter adalahunspecified
, perilaku pada kecocokan adalahblock
baris masuk, lalu lanjutkan mengevaluasi baris berikutnya untuk kecocokan. Untuk mengetahui informasi selengkapnya, lihat Filter ekspresi reguler.
(Khusus pengumpulan Syslog) Opsional: Alihkan Setelan server untuk mengonfigurasi server HTTP bawaan forwarder, yang dapat digunakan untuk mengonfigurasi opsi load balancing dan ketersediaan tinggi untuk pengumpulan syslog di Linux. Untuk mengetahui detail mengenai setelan ini, baca Setelan server HTTP untuk pengumpulan syslog.
Klik Submit.
Forwarder ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
Di kolom Nama kolektor, ketik nama.
Klik kolom Log type untuk melihat daftar jenis log, dan lakukan salah satu hal berikut:
- Jika Anda tidak melihat jenis log yang diinginkan, mulai ketik namanya di kotak untuk melihat saran lainnya. Untuk daftar lengkap jenis log yang didukung, lihat Set data yang didukung.
- Pilih jenis log dari daftar.
Opsional: Luaskan bagian Configuration values dan tentukan salah satu dari berikut ini:
- Namespace aset: Ketik namespace yang mengidentifikasi log yang dikumpulkan oleh kolektor ini. Jika namespace ditentukan untuk kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut. Untuk informasi selengkapnya tentang namespace aset, lihat Ruang nama aset.
- Kunci label dan nilai label: Ketik kunci dan nilai. Jika diinginkan, Anda juga dapat mengklik Add another untuk menambahkan satu atau beberapa key:value pair label tambahan. Untuk log kolektor ini, setelan ini akan mengganti label yang ditentukan pada tingkat penerus. Untuk mengetahui detailnya, lihat Label.
- Deskripsi filter, Ekspresi reguler, dan Perilaku filter:
Menambahkan filter yang memfilter log berdasarkan ekspresi reguler
(sintaksis RE2)
cocok dengan setiap baris masuk log mentah. Perilaku filter menentukan apakah akan
allow
ataublock
baris masuk setelah kecocokan. Secara default, termasuk jika perilaku filter adalahunspecified
, perilaku pada kecocokan adalahblock
baris masuk, lalu lanjutkan mengevaluasi baris berikutnya untuk kecocokan. Untuk mengetahui informasi selengkapnya, lihat Filter ekspresi reguler.
Opsional: Luaskan bagian Setelan lanjutan dan tentukan salah satu dari opsi berikut:
- Waktu maksimum per batch: Jumlah detik di antara batch. Defaultnya adalah
10
. - Jumlah byte maksimum per batch: Jumlah byte yang diantrekan sebelum upload batch forwarder. Defaultnya adalah
1048576
.
- Waktu maksimum per batch: Jumlah detik di antara batch. Defaultnya adalah
Opsional: Disk buffer: Setel tombol ke on untuk mengaktifkan buffering disk bagi kolektor. Untuk mengetahui detail tentang buffering disk, lihat Buffering disk. Jika diaktifkan, Anda dapat menentukan setelan berikut:
- Jalur direktori: Jalur direktori untuk file yang ditulis.
- Byte buffer file maksimum: Ukuran disk maksimum yang digunakan oleh kolektor sebelum pesan yang di-backlog di-buffer ke disk. Defaultnya adalah
1073741824
. Maksimumnya adalah4294967296
.
Klik kolom Jenis kolektor, lalu pilih jenis kolektor. Setiap jenis kolektor memiliki setelannya sendiri yang dapat Anda konfigurasi. Untuk mengetahui detail tentang jenis kolektor dan setelannya, lihat Setelan jenis kolektor.
Klik Submit.
Tambahkan kolektor
Anda dapat menambahkan satu atau beberapa kolektor ke forwarder yang ada.
Dengan menambahkan kolektor, Anda dapat melakukan hal berikut:
- Beri nama kolektor.
- Tentukan jenis log yang akan dikumpulkan, seperti Pan Firewall, Cisco ASA Firewall, dan lainnya.
- Tentukan jenis kolektor: File, Kafka, PCAP, Splunk, Syslog, atau WebProxy.
- Menentukan nilai konfigurasi kolektor.
Setelah menambahkan setidaknya satu kolektor ke forwarder, Anda dapat mendownload konfigurasi penerusan dan men-deploy-nya di mesin atau perangkat tempat Chronicle Forwarder diinstal.
Untuk menambahkan kolektor baru ke forwarder, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan.
- Pada halaman Penerusan, cari penerus yang Anda inginkan. Jika daftar penerusan panjang, gunakan kolom Search.
- Arahkan kursor ke penerusan yang ingin Anda tambahkan kolektor. Ikon menu luaskan akan ditampilkan.
- Klik ikon luaskan menu.
- Pilih Tambahkan kolektor baru.
- Di kolom Nama kolektor, ketik nama.
Klik kolom Log type untuk melihat daftar jenis log, dan lakukan salah satu hal berikut:
- Jika Anda tidak melihat jenis log yang diinginkan, mulai ketik namanya di kotak untuk melihat saran lainnya. Untuk daftar lengkap jenis log yang didukung, lihat Set data yang didukung.
- Pilih jenis log dari daftar.
Opsional: Luaskan bagian Configuration values dan tentukan salah satu dari berikut ini:
- Namespace aset: Ketik namespace yang mengidentifikasi log yang dikumpulkan oleh kolektor ini. Jika namespace ditentukan untuk kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut. Untuk informasi selengkapnya tentang namespace aset, lihat Ruang nama aset.
- Kunci label dan nilai label: Ketik kunci dan nilai. Jika diinginkan, Anda juga dapat mengklik Add another untuk menambahkan satu atau beberapa key:value pair label tambahan. Untuk log kolektor ini, setelan ini akan mengganti label yang ditentukan pada tingkat penerus. Untuk mengetahui detailnya, lihat Label.
- Deskripsi filter, Ekspresi reguler, dan Perilaku filter:
Menambahkan filter yang memfilter log berdasarkan ekspresi reguler
(sintaksis RE2)
cocok dengan setiap baris masuk log mentah. Perilaku filter menentukan apakah akan
allow
ataublock
baris masuk setelah kecocokan. Secara default, termasuk jika perilaku filter adalahunspecified
, perilaku pada kecocokan adalahblock
baris masuk, lalu lanjutkan mengevaluasi baris berikutnya untuk kecocokan. Untuk mengetahui informasi selengkapnya, lihat Filter ekspresi reguler.
Opsional: Luaskan bagian Setelan lanjutan dan tentukan salah satu dari opsi berikut:
- Waktu maksimum per batch: Jumlah detik di antara batch. Defaultnya adalah
10
. - Jumlah byte maksimum per batch: Jumlah byte yang diantrekan sebelum upload batch forwarder. Defaultnya adalah
1048576
.
- Waktu maksimum per batch: Jumlah detik di antara batch. Defaultnya adalah
Opsional: Disk buffer: Setel tombol ke on untuk mengaktifkan buffering disk bagi kolektor. Untuk mengetahui detail tentang buffering disk, lihat Buffering disk. Jika diaktifkan, Anda dapat menentukan setelan berikut:
- Jalur direktori: Jalur direktori untuk file yang ditulis.
- Byte buffer file maksimum: Ukuran disk maksimum yang digunakan oleh kolektor sebelum pesan yang di-backlog di-buffer ke disk. Defaultnya adalah
1073741824
. Maksimumnya adalah4294967296
.
Klik kolom Jenis kolektor, lalu pilih jenis kolektor. Setiap jenis kolektor memiliki setelannya sendiri yang dapat Anda konfigurasi. Untuk mengetahui detail tentang jenis kolektor dan setelannya, lihat Setelan jenis kolektor.
Klik Submit.
Kelola penerusan
Mencantumkan penerusan dalam instance Chronicle
Untuk mencantumkan penerusan dalam instance Chronicle, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
- Opsional: Urutkan daftar dengan mengklik kolom Nama atau Terakhir diperbarui.
Anda juga dapat menggunakan kolom penelusuran untuk mempersempit hasil dalam daftar.
Clone forwarder
Cloning memungkinkan Anda membuat salinan satu atau beberapa konfigurasi forwarder.
Untuk meng-clone penerusan, ikuti langkah-langkah berikut:
Di halaman Forwarder, centang kotak untuk setiap penerus yang ingin Anda clone.
Klik
ikon luaskan menu.Pilih Clone dipilih.
Klik Clone. Salinan setiap penerusan akan ditambahkan.
Mengedit konfigurasi penerus
Untuk mengedit konfigurasi penerus, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
Tahan kursor ke atas penerusan yang konfigurasinya ingin Anda edit. Ikon menu luaskan
akan ditampilkan.Klik
ikon luaskan menu.Pilih Edit konfigurasi penerusan.
Buat perubahan pada konfigurasi. Untuk informasi selengkapnya, lihat langkah konfigurasi dalam prosedur menambahkan penerusan.
Klik Submit.
Hapus penerus
Untuk menghapus penerusan, ikuti langkah-langkah berikut:
Di halaman Penerusan, centang kotak untuk setiap penerusan yang ingin Anda hapus.
Klik
ikon luaskan menu.Pilih Hapus yang dipilih.
Klik Hapus yang dipilih.
Mengelola kolektor
Mencantumkan kolektor di instance Chronicle
Untuk mencantumkan kolektor dalam instance Chronicle, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
- Klik panah luaskan di samping judul kolom Name. Ini memperluas semua forwarder, menampilkan hingga lima kolektor untuk setiap forwarder.
- Jika forwarder memiliki lebih dari lima kolektor, klik link Lihat semua kolektor.
Mengedit konfigurasi kolektor
Untuk mengedit konfigurasi kolektor, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
Klik
panah peluas dari penerusan yang ingin Anda edit kolektornya.Jika ada lebih dari lima kolektor, klik link Lihat semua kolektor.
Arahkan kursor ke kolektor yang konfigurasinya ingin Anda edit. Link Edit akan ditampilkan.
Klik Edit.
Buat perubahan pada konfigurasi. Untuk informasi selengkapnya, lihat langkah konfigurasi dalam prosedur menambahkan kolektor.
Klik Submit.
Menghapus kolektor
Untuk menghapus kolektor, ikuti langkah-langkah berikut:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
Klik
panah peluas dari penerusan yang ingin Anda hapus kolektornya.Jika ada lebih dari lima kolektor, klik link Lihat semua kolektor.
Arahkan kursor ke kolektor yang konfigurasinya ingin Anda edit. Link Delete akan muncul.
Klik tautan Hapus.
Untuk mengonfirmasi, klik tombol Delete.
Download file konfigurasi
Mendownload forwarder memerlukan setidaknya satu kolektor. Jika Anda mencoba mendownload penerusan tanpa kolektor, Anda akan mendapatkan pesan error.
Anda dapat mendownload file konfigurasi penerus (.conf
), file autentikasi (_auth.conf
), atau keduanya, untuk semua penerusan yang tercantum dalam instance Chronicle selama file tersebut memiliki setidaknya satu kolektor. Setelah mendownload file, Anda harus men-deploy file tersebut di sistem Windows atau Linux tempat Chronicle Forwarder berada.
Untuk mendownload file konfigurasi penerus:
- Pada menu navigasi, klik Settings.
- Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
Pada halaman Penerusan, cari penerus yang Anda inginkan. Jika daftar penerusan panjang, gunakan kolom Search.
Arahkan kursor ke penerusan yang ingin Anda download file konfigurasinya. Ikon menu luaskan
akan ditampilkan.Klik
ikon luaskan menu.Pilih Download.
Dalam dialog Konfigurasi penerusan download, lakukan salah satu langkah berikut:
- Untuk mendownload file konfigurasi penerus, klik ikon download di samping jenis file
.conf
. - Untuk mendownload file autentikasi penerus, klik ikon download di samping jenis file
_auth.conf
. - Untuk mendownload kedua file, klik Download semua.
- Untuk mendownload file konfigurasi penerus, klik ikon download di samping jenis file
Referensi setelan konfigurasi
Konfigurasi penerusan mencakup satu atau beberapa kolektor.
Anda dapat mengonfigurasi setelan berikut di tingkat penerus:
Anda dapat mengonfigurasi setelan berikut di tingkat forwarder dan tingkat kolektor. Untuk memahami hasil konfigurasi setelan di kedua level, lihat bagian untuk setelan.
Anda dapat mengonfigurasi setelan berikut di tingkat kolektor:
Kompresi upload
Default: Aktif
Anda dapat mengonfigurasi kompresi upload untuk forwarder, tetapi tidak untuk kolektor. Jika diaktifkan, setelan ini akan mengompresi log sebelum diupload ke Chronicle. Tindakan ini akan mengurangi penggunaan bandwidth jaringan selama transfer ke Chronicle. Namun, kompresi dapat menyebabkan peningkatan penggunaan CPU.
Konsekuensi antara bandwidth dan penggunaan CPU bergantung pada banyak faktor, termasuk jenis data log, kompresi data tersebut, ketersediaan siklus CPU pada host yang menjalankan forwarder, dan kebutuhan untuk mengurangi konsumsi bandwidth jaringan. Misalnya, log berbasis teks dikompresi dengan baik dan dapat memberikan penghematan bandwidth yang signifikan dengan penggunaan CPU yang rendah. Namun, payload paket mentah terenkripsi tidak dikompresi dengan baik dan menimbulkan penggunaan CPU yang lebih tinggi.
Namespace aset
Default: Kolom kosong jika tidak ditentukan.
Anda dapat mengonfigurasi namespace aset untuk forwarder, kolektor, atau keduanya. Anda dapat menggunakan namespace untuk mengidentifikasi log dari segmen jaringan yang berbeda dan mengatasi konflik alamat IP yang tumpang-tindih. Setiap namespace yang Anda konfigurasi akan muncul dengan aset terkait di antarmuka pengguna Chronicle. Anda juga dapat menelusuri namespace menggunakan fitur Chronicle Search.
Anda dapat menentukan namespace untuk forwarder dan menentukan namespace berbeda untuk satu atau beberapa kolektor forwarder. Jika namespace ditentukan untuk kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut.
Untuk informasi tentang penggunaan namespace, lihat Namespace aset.
Label
Default: Kolom kosong jika tidak ditentukan.
Anda dapat mengonfigurasi label untuk forwarder, kolektor, atau keduanya. Label digunakan untuk melampirkan metadata arbitrer ke log dengan menggunakan key pair dan value pair. Label dapat dikonfigurasi untuk seluruh forwarder atau dalam kolektor spesifik penerusan. Jika keduanya disediakan, label akan digabungkan dengan kunci kolektor yang lebih diutamakan daripada kunci penerusan jika kunci tersebut tumpang-tindih.
Filter ekspresi reguler
Default: Kolom kosong jika tidak ditentukan.
Anda dapat mengonfigurasi filter ekspresi reguler untuk forwarder, kolektor, atau keduanya. Filter ekspresi reguler memungkinkan Anda memblokir atau mengizinkan baris masuk log mentah yang cocok dengan ekspresi.
Filter menggunakan sintaksis RE2.
Filter harus menyertakan ekspresi reguler dan, secara opsional, menentukan perilaku jika ada kecocokan. Perilaku default pada pencocokan adalah blok (Anda juga dapat mengonfigurasinya secara eksplisit sebagai blok).
Atau, Anda dapat menentukan filter dengan perilaku allow. Jika Anda menentukan filter izinkan, penerus akan memblokir semua log yang tidak cocok dengan setidaknya satu filter izin.
Anda dapat menetapkan jumlah filter yang arbitrer. Filter blokir lebih diprioritaskan daripada filter izinkan.
Saat filter ditentukan, filter harus diberi nama. Nama filter aktif dilaporkan ke Chronicle dengan menggunakan metrik kondisi penerusan. Filter yang ditentukan pada tingkat penerusan digabungkan dengan filter yang ditentukan pada tingkat kolektor. Filter tingkat kolektor akan diprioritaskan jika nama bertentangan. Jika tidak ada filter yang ditentukan di tingkat forwarder atau kolektor, perilakunya adalah mengizinkan semua.
Setelan server HTTP untuk pengumpulan syslog
Chronicle Forwarder dapat di-deploy di lingkungan tempat load balancer Lapisan 4 diinstal antara instance sumber data dan penerusan. Dengan begitu, Anda dapat mendistribusikan koleksi log ke beberapa penerus atau mengirim log ke penerus yang berbeda jika salah satu gagal. Fitur ini hanya didukung dengan jenis koleksi syslog.
Forwarder menyertakan server HTTP bawaan yang merespons health check HTTP dari load balancer. Server HTTP juga membantu memastikan bahwa log tidak hilang selama startup atau shutdown forwarder.
Setelan server dalam konfigurasi forwarder mendukung penyetelan durasi waktu tunggu dan kode status yang ditampilkan sebagai respons terhadap health check yang diterima dalam penjadwal container dan deployment berbasis orkestrasi, serta dari load balancer tradisional.
Gunakan jalur URL berikut untuk pemeriksaan kesehatan, kesiapan, dan keaktifan. Nilai
<host:port>
ditentukan dalam konfigurasi penerus.
- http://
<host:port>
/meta/available: pemeriksaan keaktifan untuk penjadwal/orkestrasi container, seperti Kubernetes. - http://
<host:port>
/meta/siap: pemeriksaan kesiapan dan health check load balancer tradisional.
Setelan | Deskripsi |
---|---|
Waktu tunggu tuntas | Jumlah waktu saat koneksi baru masih diterima setelah
forwarder menampilkan status belum dibaca sebagai respons terhadap health check.
Ini juga merupakan waktu untuk menunggu antara menerima sinyal untuk berhenti dan
benar-benar memulai penonaktifan server itu sendiri. Hal ini memungkinkan waktu load balancer untuk menghapus penerusan dari kumpulan. Nilai yang valid dalam hitungan detik. Misalnya, untuk menentukan 10 detik, ketik 10.
Nilai desimal tidak diizinkan.Default: 15 detik |
Waktu tunggu pengosongan | Lamanya waktu tunggu hingga koneksi aktif berhasil ditutup sendiri sebelum ditutup oleh server. Misalnya, untuk menentukan 5 detik, ketik 5.
Nilai desimal tidak diizinkan.Default: 10 detik |
Port | Nomor port yang diproses server HTTP untuk health check
dari load balancer. Nilai harus antara 1024-65535. Default: 8080 |
Alamat IP/nama host | Alamat IP, atau nama host yang dapat di-resolve menjadi alamat IP,
yang harus dipantau oleh server. Default: 0.0.0.0 (sistem lokal) |
Waktu tunggu baca habis | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah
dari setelan default. Jumlah waktu maksimum yang diizinkan untuk membaca
seluruh permintaan, baik header maupun isi. Anda dapat menetapkan kolom read timeout dan kolom read header timeout. Default: 3 detik |
Waktu tunggu header baca | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah
dari setelan default. Jumlah waktu maksimum yang diizinkan untuk membaca header permintaan. Batas waktu operasi baca koneksi diatur ulang setelah
membaca header. Default: 3 detik |
Waktu tunggu penulisan | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah
dari setelan default. Durasi maksimum yang diizinkan untuk mengirim respons. Fungsi ini direset saat header permintaan baru dibaca. Default: 3 detik |
Waktu tunggu tidak ada aktivitas | Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah
dari setelan default. Jumlah waktu maksimum untuk menunggu permintaan berikutnya saat koneksi tidak ada aktivitas diaktifkan. Jika kolom idle
timeout ditetapkan ke nol, nilai kolom read
timeout akan digunakan. Jika keduanya nol, kolom read
header timeout akan digunakan. Default: 3 detik |
Kode status yang tersedia | Kode status yang ditampilkan penerus saat pemeriksaan keaktifan
diterima dan penerusan tersedia. Penjadwal dan orkestrasi container, seperti Kubernetes, sering mengirim pemeriksaan keaktifan. Default: 204 |
Kode status siap | Kode status yang ditampilkan penerusan pengirim jika sudah siap menerima traffic dalam salah satu situasi berikut:
|
Kode status belum dibaca | Kode status yang ditampilkan pengirim jika belum siap menerima traffic. Default: 503 |
Jenis log
Untuk daftar lengkap jenis log yang didukung, lihat Set data yang didukung.
Buffering disk
Dengan buffering disk, Anda dapat mem-buffer pesan yang di-backlog ke disk, bukan ke memori. Pesan backlog dapat disimpan jika terjadi error forwarder atau host yang mendasarinya mengalami error. Perlu diketahui bahwa mengaktifkan buffering disk dapat memengaruhi performa.
Jika buffering disk dinonaktifkan, kolektor akan menggunakan memori (RAM) 1 GB untuk log yang dikumpulkannya. Anda dapat menentukan nilai maksimum menggunakan setelan Max file buffer bytes dalam konfigurasi kolektor. Hal ini menentukan ukuran RAM maksimum yang digunakan oleh kolektor sebelum pesan backlog di-buffer ke disk. Nilai defaultnya adalah 1073741824. Maksimumnya adalah 4294967296.
Jika Anda menjalankan forwarder menggunakan Docker, Google merekomendasikan pemasangan volume yang terpisah dari volume konfigurasi untuk tujuan isolasi. Selain itu, setiap input harus diisolasi dengan direktori atau volumenya sendiri untuk menghindari konflik.
Setelan jenis kolektor
Setiap konfigurasi kolektor harus menentukan jenis kolektor. Bagian ini menjelaskan jenis kolektor dan setelannya.
File
Gunakan jenis kolektor file
untuk mengupload log dari satu file log.
Kolom | Kolom wajib atau opsional untuk jenis ini | Deskripsi |
---|---|---|
Jalur file | Diperlukan | Jalur direktori dan nama file. Contoh:/opt/chronicle/edr/output/sample.txt |
Kafka
Gunakan jenis kolektor kafka
untuk menyerap data dari topik Kafka. Grup
konsumen Kafka dimanfaatkan agar Anda dapat men-deploy hingga tiga Forwarder Chronicle untuk
menarik data dari topik Kafka yang sama. Untuk informasi selengkapnya, lihat
Kafka.
Untuk mengetahui informasi selengkapnya tentang grup konsumen Kafka, lihat
Konsumen Kafka.
Kolom | Wajib atau opsional untuk jenis ini | Deskripsi |
---|---|---|
Nama pengguna | Diperlukan | Nama pengguna identitas yang digunakan untuk autentikasi. |
Sandi | Diperlukan | Sandi akun yang terkait dengan nama pengguna. |
Topik | Diperlukan | Topik Kafka tempat menyerap data. |
ID Grup | Diperlukan | ID grup. |
Timeout | Diperlukan | Jumlah detik maksimum panggilan akan menunggu hingga koneksi
selesai. Default: 60 |
Broker | Opsional | Masukkan broker di kotak teks. Contoh:broker-1:9092 Klik Add another untuk menambahkan broker lain. Catatan: Semua nilai diganti selama operasi update. Oleh karena itu, untuk memperbarui daftar broker guna menambahkan broker baru, tentukan semua broker yang ada dan broker baru. |
Sertifikat TLS | Diperlukan | Nama file jalur dan sertifikat. Contoh:/path/to/cert.pem |
Kunci sertifikat TLS | Diperlukan | Nama file jalur dan kunci sertifikat. Contoh:/path/to/cert.key |
Versi TLS minimum | Diperlukan | Versi TLS minimum. Contoh: TLSv1_3 |
Lewati verifikasi TLS tidak aman | Diperlukan | Mengaktifkan verifikasi sertifikasi SSL. Default: dinonaktifkan |
Penutup
Bagian ini membahas topik berikut:
Menggunakan pcap di Windows
Forwarder Chronicle dapat menangkap paket langsung dari antarmuka jaringan menggunakan Npcap di sistem Windows.
Hubungi Dukungan Chronicle untuk memperbarui file konfigurasi penerusan Chronicle agar dapat mendukung pengambilan paket.
Untuk menjalankan forwarder Packet Capture (PCAP), Anda memerlukan hal berikut:
- Instal Npcap di host Microsoft Windows.
- Di host Windows, berikan hak istimewa administrator atau root forwarder Chronicle untuk memantau antarmuka jaringan.
- Opsi command line tidak diperlukan.
- Saat penginstalan Npcap, aktifkan mode kompatibilitas WinPcap.
Menggunakan pcap di Linux
Gunakan jenis kolektor pcap
untuk mengambil paket langsung dari antarmuka
jaringan menggunakan libcap di Linux. Untuk informasi lebih lanjut tentang libcap, lihat libcap—halaman manual Linux.
Paket diambil dan dikirim ke Chronicle, bukan entri log. Pengambilan paket hanya ditangani dari antarmuka lokal.
Chronicle mengonfigurasi forwarder Chronicle dengan ekspresi Berkeley Packet Filter (BPF) yang digunakan saat mengambil paket (misalnya, port 53 dan bukan localhost). Untuk informasi selengkapnya, lihat Filter paket Berkeley.
Setelan kolektor untuk pcap
Setelan konfigurasi kolektor yang sama berlaku untuk host Linux atau Windows.
Kolom | Wajib atau opsional untuk jenis ini | Deskripsi |
---|---|---|
Antarmuka jaringan | Diperlukan | Antarmuka yang akan dipantau untuk data PCAP. Catatan: Untuk host Windows, ini adalah GUID untuk antarmuka yang digunakan untuk menangkap paket. Untuk mendapatkan nilai ini, jalankan getmac.exe di komputer tempat Chronicle Forwarder diinstal (server atau mesin yang memproses di port span). Output getmac.exe dimulai dengan \Device\Tcpip_ .
Ganti ini dengan \Device\NPF_ .Contoh: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Filter paket Berkeley | Diperlukan | Berkeley Packet Filter (BPF) untuk pcap. Contoh: udp port 53 |
Splunk
Gunakan jenis kolektor splunk
untuk mengumpulkan data Splunk.
Kolom | Wajib atau opsional untuk jenis ini | Deskripsi |
---|---|---|
Nama pengguna | Diperlukan | Nama pengguna identitas yang digunakan untuk autentikasi. |
Sandi | Diperlukan | Sandi akun yang diidentifikasi oleh nama pengguna. |
Host | Diperlukan | Host atau alamat IP untuk Splunk REST API. Contoh: https://10.0.113.15 |
Port | Diperlukan | Port Splunk REST API. |
Ukuran jendela minimum | Diperlukan | Rentang waktu minimum dalam detik yang diteruskan ke kueri Splunk. Parameter
ini digunakan untuk menyesuaikan jika persyaratannya adalah untuk mengubah
frekuensi kueri server Splunk saat forwarder dalam
status stabil. Selain itu, jika terjadi keterlambatan, panggilan API Splunk dapat dilakukan beberapa kali. Default: 10 |
Ukuran jendela maksimum | Diperlukan | Rentang waktu maksimum dalam detik yang diteruskan ke kueri Splunk. Parameter ini digunakan untuk menyesuaikan jika terjadi keterlambatan atau jika diperlukan lebih banyak data per kueri. Ubah parameter ini (sama dengan atau lebih besar dari) saat Anda mengubah parameter minimum. Kasus keterlambatan dapat terjadi jika panggilan kueri Splunk memerlukan waktu lebih lama dari ukuran jendela maksimum. Catatan: Rentang waktu tidak pernah tumpang-tindih saat kueri server Splunk dikueri. Rentang waktu yang dikueri selalu antara parameter periode minimum dan maksimum. Default: 30 |
String kueri | Diperlukan | Kueri yang digunakan untuk memfilter catatan dalam Splunk. Contoh: search index=* sourcetype=dns |
Mode kueri | Diperlukan | Mode kueri untuk Splunk. Contoh: realtime |
Sertifikat diabaikan | Opsional | Jika diaktifkan, sertifikat akan diabaikan. Default: dinonaktifkan |
{i>Syslog<i}
Gunakan jenis kolektor syslog
untuk mengumpulkan data syslog. Anda dapat mengonfigurasi
alat atau server apa pun yang mendukung pengiriman data syslog melalui koneksi TCP atau UDP
untuk meneruskan datanya ke Chronicle Forwarder. Anda dapat mengontrol data persis
yang dikirim peralatan atau server ke Chronicle Forwarder. Chronicle Forwarder
kemudian dapat meneruskan data ke Chronicle.
Kolom | Wajib atau opsional untuk jenis ini | Deskripsi |
---|---|---|
Protocol | Diperlukan | Protokol koneksi yang akan digunakan kolektor untuk mendengarkan data {i>syslog<i}. Nilai yang valid adalah:
|
Alamat | Diperlukan | Alamat IP atau nama host target tempat kolektor berada dan memproses data syslog. |
Port | Diperlukan | Port target tempat kolektor berada dan memproses data syslog. |
Ukuran buffer | Diperlukan | Ukuran buffer soket dalam byte. Default untuk TCP adalah 65536. Nilai default untuk UDP adalah 8192. |
Waktu tunggu koneksi habis | Diperlukan | Jumlah detik tidak aktif setelah koneksi TCP
diputus. Default: 60 |
Sertifikat TLS | Diperlukan | Nama file jalur dan sertifikat. Contoh:/path/to/cert.pem |
Kunci sertifikat TLS | Diperlukan | Nama file jalur dan kunci sertifikat. Contoh:/path/to/cert.key |
Versi TLS minimum | Diperlukan | Versi TLS minimum. Contoh: TLSv1_3 |
Lewati verifikasi TLS tidak aman | Diperlukan | Mengaktifkan verifikasi sertifikasi SSL. Default: dinonaktifkan |
WebProxy
Selain menentukan nilai kolom yang ditampilkan di bawah, untuk Chronicle Forwarder di Windows, instal library Npcap di komputer atau perangkat Windows. Hal ini tidak diperlukan untuk Chronicle Forwarder di sistem Linux.
Kolom | Wajib atau opsional untuk jenis ini | Deskripsi |
---|---|---|
Antarmuka jaringan | Diperlukan | Antarmuka yang akan dipantau untuk data proxy web. |
Filter paket Berkeley | Diperlukan | Berkeley Packet Filter (BPF) untuk proxy web. Contoh: udp port 53 |
Pemecahan masalah
Data {i>syslog<i} tidak diterima oleh penerus
Pastikan setelan syslog kolektor dikonfigurasi agar menggunakan protokol koneksi (TCP atau UDP) yang benar untuk data yang masuk. Untuk informasi selengkapnya, lihat Mengedit kolektor.