Gestisci le configurazioni dello strumento di inoltro tramite l'UI di Google Security Operations

Questa pagina descrive come creare, gestire e scaricare configurazioni di inoltro utilizzando l'interfaccia utente (UI) di Google Security Operations. Puoi anche eseguire queste attività in modo programmatico utilizzando l'API Forwarder Management.

Convenzioni di denominazione

In questo documento vengono utilizzate le seguenti convenzioni di denominazione:

  • Google Security Operations Forwarder: il componente software di cui è stato eseguito il deployment.
  • forwarder: il nome breve di una configurazione di inoltro se è archiviata nell'istanza di Google Security Operations.
  • collector: il nome breve di una configurazione del raccoglitore quando è archiviata nell'istanza di Google Security Operations.

Aggiungi inoltro

L'aggiunta di un forwarding è il primo passaggio della configurazione di Google Security Operations Forwarder. L'aggiunta di un server di inoltro ti consente di:

  • Assegna un nome a una configurazione di forwarding.
  • Specifica i valori di configurazione dello strumento di inoltro.

L'aggiunta di un nuovo utente di inoltro crea una configurazione di inoltro parzialmente completa. Per completare la configurazione del server di inoltro, devi aggiungere un raccoglitore. Dopo aver aggiunto almeno un raccoglitore, puoi scaricare la configurazione di forwarding ed eseguirne il deployment su una macchina o un dispositivo in cui è installato Google Security Operations Forwarder.

Anziché aggiungere un nuovo utente di inoltro, puoi clonare uno o più forwarding esistenti. Per i dettagli, consulta Clona gli utenti che effettuano l'inoltro.

Per aggiungere un nuovo inoltro, procedi nel seguente modo:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder.
  3. Fai clic su Aggiungi nuovo inoltro.
  4. Nel campo Nome forwarding, digita un nome.

  5. (Facoltativo) Espandi la sezione Valori di configurazione e specifica uno dei seguenti attributi:

    • Compressione dei caricamenti: seleziona per comprimere i dati di log prima che vengano caricati su Google Security Operations. Il valore predefinito è No. Per maggiori dettagli sulla compressione dei dati, vedi Compressione dei caricamenti.
    • Spazio dei nomi asset: digita uno spazio dei nomi che identifica i log raccolti da questo forwarding. Questo spazio dei nomi verrà applicato a tutti i raccoglitori aggiunti a questo forwarding, a meno che non specifichi uno spazio dei nomi per un raccoglitore a livello di raccoglitore. Se specifichi uno spazio dei nomi sia a livello di forwarding che a livello di raccoglitore, viene utilizzato lo spazio dei nomi del raccoglitore al posto dello spazio dei nomi del server di inoltro per i log di quel raccoglitore. Per saperne di più sugli spazi dei nomi degli asset, consulta Spazi dei nomi degli asset.
    • Chiave di etichetta e Valore etichetta:digita una chiave e un valore, Se vuoi, puoi anche fare clic su Aggiungi nuova etichetta per aggiungere una o più coppie chiave-valore di etichetta aggiuntive. Questa è un'impostazione globale che si applica al forwarding e ai raccoglitori del forwarding, a meno che non venga eseguito l'override a livello del raccoglitore. Per maggiori dettagli, vedi Etichette.
    • Descrizione filtro, Espressione regolare e Comportamento filtro: aggiungi filtri che filtrano i log in base a espressioni regolari (sintassi RE2) per le corrispondenze in ogni riga in entrata del log non elaborato. Il Comportamento filtro determina se allow o block la riga in arrivo su una corrispondenza. Per impostazione predefinita, anche quando il comportamento del filtro è unspecified, il comportamento su una corrispondenza è block la riga in arrivo e continua a valutare la corrispondenza successiva per una corrispondenza. Per ulteriori informazioni, consulta la sezione Filtri delle espressioni regolari.

  6. (Solo raccolta Syslog) Facoltativo: attiva/disattiva Impostazioni server per configurare il server HTTP integrato del server di inoltro, che può essere utilizzato per configurare le opzioni di bilanciamento del carico e alta disponibilità per la raccolta syslog su Linux. Per maggiori dettagli su queste impostazioni, vedi Impostazioni del server HTTP per la raccolta di syslog.

  7. Fai clic su Invia.

    L'inoltro viene aggiunto e viene visualizzata la finestra Aggiungi configurazione raccoglitore.

  8. Nel campo Nome raccoglitore, digita un nome.

  9. Fai clic sul campo Tipo di log per visualizzare un elenco di tipi di log ed esegui una delle seguenti operazioni:

    • Se il tipo di log che stai cercando non è presente, inizia a digitarne il nome nella casella per visualizzare altri suggerimenti. Per un elenco completo dei tipi di log supportati, consulta Set di dati supportati.
    • Seleziona un tipo di log dall'elenco.

  10. (Facoltativo) Espandi la sezione Valori di configurazione e specifica uno dei seguenti elementi:

    • Spazio dei nomi asset: digita uno spazio dei nomi che identifichi i log raccolti da questo raccoglitore. Se per un raccoglitore viene specificato uno spazio dei nomi, quest'ultimo viene utilizzato al posto dello spazio dei nomi del raccoglitore per i log di quel raccoglitore. Per saperne di più sugli spazi dei nomi degli asset, consulta Spazi dei nomi degli asset.
    • Chiave di etichetta e Valore etichetta:digita una chiave e un valore, Se vuoi, puoi anche fare clic su Aggiungi un altro per aggiungere una o più coppie chiave-valore di etichetta aggiuntive. Per i log di questo raccoglitore, questa impostazione sostituisce le etichette specificate a livello di forwarding. Per maggiori dettagli, vedi Etichette.
    • Descrizione filtro, Espressione regolare e Comportamento filtro: aggiungi filtri che filtrano i log in base all'espressione regolare (sintassi RE2) trova corrispondenze in ogni riga in entrata del log non elaborato. Il comportamento del filtro determina se allow o block la riga in arrivo in caso di corrispondenza. Per impostazione predefinita, anche quando il comportamento del filtro è unspecified, il comportamento su una corrispondenza è block la riga in arrivo e continua a valutare la corrispondenza successiva per una corrispondenza. Per ulteriori informazioni, consulta la sezione Filtri delle espressioni regolari.

  11. (Facoltativo) Espandi la sezione Impostazioni avanzate e specifica una delle seguenti opzioni:

    • Numero massimo di secondi per batch: il numero di secondi tra i batch. Il valore predefinito è 10.
    • Max byte per batch: il numero di byte in coda prima del caricamento collettivo dell'inoltro. Il valore predefinito è 1048576.

  12. Facoltativo: buffer del disco:imposta il pulsante di attivazione/disattivazione su on per abilitare il buffering del disco per il raccoglitore. Per maggiori dettagli sul buffering del disco, vedi Buffering del disco. Quando questa opzione è abilitata, puoi specificare le seguenti impostazioni:

    • Percorso directory:il percorso della directory per i file scritti.
    • Max byte del buffer di file: la dimensione massima del disco utilizzata dal raccoglitore prima che i messaggi in backlog vengano inseriti nel buffer sul disco. Il valore predefinito è 1073741824. Il numero massimo è 4294967296.

  13. Fai clic sul campo Tipo di raccoglitore e seleziona un tipo di raccoglitore. Ogni tipo di raccoglitore ha le proprie impostazioni che puoi configurare. Per maggiori dettagli sui tipi di raccoglitore e sulle relative impostazioni, consulta Impostazioni del tipo di raccoglitore.

  14. Fai clic su Invia.

Aggiungi raccoglitori

Puoi aggiungere uno o più raccoglitori a un forwarding esistente.

L'aggiunta di un raccoglitore ti consente di:

  • Assegna un nome al raccoglitore.
  • Specifica il tipo di log da raccogliere, ad esempio Pan Firewall, Cisco ASA Firewall e altri.
  • Specifica il tipo di raccoglitore: File, Kafka, PCAP, Splunk, Syslog o WebProxy.
  • Specifica i valori di configurazione del raccoglitore.

Dopo aver aggiunto almeno un raccoglitore a un forwarding, puoi scaricare la configurazione dell'inoltro e eseguirne il deployment su una macchina o un dispositivo in cui è installato Google Security Operations Forwarder.

Per aggiungere un nuovo raccoglitore a un server di inoltro, procedi nel seguente modo:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder.
  3. Nella pagina Forwarder, trova quello che ti interessa. Se l'elenco degli forwarding è lungo, utilizza il campo Ricerca.
  4. Tieni il puntatore sopra lo strumento di inoltro per cui vuoi aggiungere un raccoglitore. Viene visualizzata l'icona del menu Espandi .
  5. Fai clic sull'icona del menu Espandi .
  6. Scegli Aggiungi nuovo raccoglitore.
  7. Nel campo Nome raccoglitore, digita un nome.

  8. Fai clic sul campo Tipo di log per visualizzare un elenco di tipi di log ed esegui una delle seguenti operazioni:

    • Se il tipo di log che stai cercando non è presente, inizia a digitarne il nome nella casella per visualizzare altri suggerimenti. Per un elenco completo dei tipi di log supportati, consulta Set di dati supportati.
    • Seleziona un tipo di log dall'elenco.

  9. (Facoltativo) Espandi la sezione Valori di configurazione e specifica uno dei seguenti elementi:

    • Spazio dei nomi asset: digita uno spazio dei nomi che identifichi i log raccolti da questo raccoglitore. Se per un raccoglitore viene specificato uno spazio dei nomi, quest'ultimo viene utilizzato al posto dello spazio dei nomi del raccoglitore per i log di quel raccoglitore. Per saperne di più sugli spazi dei nomi degli asset, consulta Spazi dei nomi degli asset.
    • Chiave di etichetta e Valore etichetta:digita una chiave e un valore, Se vuoi, puoi anche fare clic su Aggiungi un altro per aggiungere una o più coppie chiave-valore di etichetta aggiuntive. Per i log di questo raccoglitore, questa impostazione sostituisce le etichette specificate a livello di forwarding. Per maggiori dettagli, vedi Etichette.
    • Descrizione filtro, Espressione regolare e Comportamento filtro: aggiungi filtri che filtrano i log in base all'espressione regolare (sintassi RE2) trova corrispondenze in ogni riga in entrata del log non elaborato. Il comportamento del filtro determina se allow o block la riga in arrivo in caso di corrispondenza. Per impostazione predefinita, anche quando il comportamento del filtro è unspecified, il comportamento su una corrispondenza è block la riga in arrivo e continua a valutare la corrispondenza successiva per una corrispondenza. Per ulteriori informazioni, consulta la sezione Filtri delle espressioni regolari.

  10. (Facoltativo) Espandi la sezione Impostazioni avanzate e specifica una delle seguenti opzioni:

    • Numero massimo di secondi per batch: il numero di secondi tra i batch. Il valore predefinito è 10.
    • Max byte per batch: il numero di byte in coda prima del caricamento collettivo dell'inoltro. Il valore predefinito è 1048576.

  11. Facoltativo: buffer del disco:imposta il pulsante di attivazione/disattivazione su on per abilitare il buffering del disco per il raccoglitore. Per maggiori dettagli sul buffering del disco, vedi Buffering del disco. Quando questa opzione è abilitata, puoi specificare le seguenti impostazioni:

    • Percorso directory:il percorso della directory per i file scritti.
    • Max byte del buffer di file: la dimensione massima del disco utilizzata dal raccoglitore prima che i messaggi in backlog vengano inseriti nel buffer sul disco. Il valore predefinito è 1073741824. Il numero massimo è 4294967296.

  12. Fai clic sul campo Tipo di raccoglitore e seleziona un tipo di raccoglitore. Ogni tipo di raccoglitore ha le proprie impostazioni che puoi configurare. Per maggiori dettagli sui tipi di raccoglitore e sulle relative impostazioni, consulta Impostazioni del tipo di raccoglitore.

  13. Fai clic su Invia.

Gestisci inoltro

Elenca gli utenti che effettuano l'inoltro in un'istanza di Google Security Operations

Per elencare gli forwarding in un'istanza di Google Security Operations, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.
  3. (Facoltativo) Ordina l'elenco facendo clic sulla colonna Nome o Ultimo aggiornamento.

Facoltativamente, utilizza il campo di ricerca per restringere i risultati dell'elenco.

Inoltratori di cloni

La clonazione consente di creare una copia di una o più configurazioni di inoltro.

Per clonare gli forwarding, segui questi passaggi:

  1. Nella pagina Forwarder (Forwarder), seleziona la casella di controllo per ogni dispositivo di inoltro che vuoi clonare.

  2. Fai clic sull'icona del menu Espandi .

  3. Seleziona Clona elementi selezionati.

  4. Fai clic su Clona. Viene aggiunta una copia di ogni utente che effettua l'inoltro.

Modifica una configurazione di inoltro

Per modificare la configurazione di uno strumento di inoltro, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Tieni il puntatore sopra lo strumento di inoltro di cui vuoi modificare la configurazione. Viene visualizzata l'icona del menu Espandi .

  4. Fai clic sull'icona del menu Espandi .

  5. Scegli Modifica configurazione inoltro.

  6. Apporta le modifiche alla configurazione. Per ulteriori informazioni, consulta i passaggi di configurazione nella procedura per l'aggiunta di forwarding.

  7. Fai clic su Invia.

Elimina inoltro

Per eliminare gli utenti che effettuano l'inoltro, segui questi passaggi:

  1. Nella pagina Forwarder, seleziona la casella di controllo per ogni inoltro che vuoi eliminare.

  2. Fai clic sull'icona del menu Espandi .

  3. Seleziona Elimina elementi selezionati.

  4. Fai clic su Elimina elementi selezionati.

Gestisci raccoglitori

Elenca i raccoglitori in un'istanza di Google Security Operations

Per elencare i raccoglitori in un'istanza di Google Security Operations:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.
  3. Fai clic sulla freccia di espansione accanto all'intestazione della colonna Nome. In questo modo, vengono ampliati tutti gli spedizionieri, con fino a cinque raccoglitori per ciascuno di questi.
  4. Se un utente di inoltro ha più di cinque raccoglitori, fai clic sul link Visualizza tutti i raccoglitori.

Modifica la configurazione di un raccoglitore

Per modificare la configurazione di un raccoglitore, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Fai clic sulla freccia di espansione del server di inoltro per cui vuoi modificare un raccoglitore.

  4. Se sono presenti più di cinque raccoglitori, fai clic sul link Vedi tutti i raccoglitori.

  5. Posiziona il puntatore sul raccoglitore per il quale vuoi modificare la configurazione. Viene visualizzato il link Modifica.

  6. Fai clic su Modifica.

  7. Apporta le modifiche alla configurazione. Per ulteriori informazioni, consulta i passaggi di configurazione nella procedura per l'aggiunta di raccoglitori.

  8. Fai clic su Invia.

Elimina un raccoglitore

Per eliminare un raccoglitore, segui questi passaggi:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Fai clic sulla freccia di espansione del server di inoltro per il quale vuoi eliminare un raccoglitore.

  4. Se sono presenti più di cinque raccoglitori, fai clic sul link Vedi tutti i raccoglitori.

  5. Posiziona il puntatore sul raccoglitore per il quale vuoi modificare la configurazione. Viene visualizzato il link Elimina.

  6. Fai clic sul link Elimina.

  7. Per confermare, fai clic sul pulsante Elimina.

Scarica i file di configurazione

Per scaricare un server di inoltro è necessario almeno un raccoglitore. Se provi a scaricare un forwarding senza un raccoglitore, verrà visualizzato un errore.

Puoi scaricare il file di configurazione dell'inoltro (.conf), il file di autenticazione (_auth.conf) o entrambi per qualsiasi utente che esegue l'inoltro elencato nella tua istanza di Google Security Operations, purché abbia almeno un raccoglitore. Dopo aver scaricato i file, dovrai implementarli sul sistema Windows o Linux in cui si trova Google Security Operations Forwarder.

Per scaricare i file di configurazione dello strumento di inoltro:

  1. Nella barra di navigazione, fai clic su Impostazioni.
  2. In Impostazioni, fai clic su Forwarder. Nella pagina viene visualizzato l'elenco degli utenti che effettuano l'inoltro.

  3. Nella pagina Forwarder, trova quello che ti interessa. Se l'elenco degli forwarding è lungo, utilizza il campo Ricerca.

  4. Tieni il puntatore sopra lo strumento di inoltro per il quale vuoi scaricare i file di configurazione. Viene visualizzata l'icona del menu Espandi .

  5. Fai clic sull'icona del menu Espandi .

  6. Scegli Scarica.

  7. Nella finestra di dialogo Scarica configurazione inoltro, esegui una delle seguenti operazioni:

    • Per scaricare il file di configurazione dell'inoltro, fai clic sull'icona di download accanto al tipo di file .conf.
    • Per scaricare il file di autenticazione dell'inoltro, fai clic sull'icona di download accanto al tipo di file _auth.conf.
    • Per scaricare entrambi i file, fai clic su Scarica tutto.

Guida di riferimento alle impostazioni di configurazione

Le configurazioni del forwarding includono uno o più raccoglitori.

Puoi configurare le seguenti impostazioni a livello di inoltro:

Puoi configurare le seguenti impostazioni a livello di inoltro e a livello di raccoglitore. Per comprendere il risultato della configurazione dell'impostazione a entrambi i livelli, consulta la sezione relativa all'impostazione.

Puoi configurare le seguenti impostazioni a livello di raccoglitore:

Carica compressione

Predefinita: attiva

Puoi configurare la compressione dei caricamenti per un utente che esegue l'inoltro, ma non per un raccoglitore. Se abilitata, questa impostazione comprime i log prima che vengano caricati in Google Security Operations. In questo modo si riduce il consumo di larghezza di banda della rete durante il trasferimento a Google Security Operations. Tuttavia, la compressione può comportare un aumento dell'utilizzo della CPU.

Il compromesso tra larghezza di banda e utilizzo della CPU dipende da molti fattori, tra cui il tipo di dati di log, la comprimibilità di tali dati, la disponibilità di cicli di CPU sull'host che esegue il forwarding e la necessità di ridurre il consumo della larghezza di banda della rete. Ad esempio, i log basati su testo si comprimono bene e possono garantire notevoli risparmi in termini di larghezza di banda con un utilizzo ridotto della CPU. Tuttavia, i payload crittografati dei pacchetti non elaborati non si comprimono bene e comportano un maggiore utilizzo della CPU.

Spazi dei nomi degli asset

Predefinito:il campo è vuoto se non specificato.

Puoi configurare uno spazio dei nomi degli asset per uno strumento di inoltro, un raccoglitore o entrambi. Puoi utilizzare uno spazio dei nomi per identificare i log di segmenti di rete distinti e annullare il conflitto di indirizzi IP sovrapposti. Tutti gli spazi dei nomi che configuri vengono visualizzati con gli asset associati nell'interfaccia utente di Google Security Operations. Puoi anche cercare spazi dei nomi utilizzando la funzionalità Google Security Operations Search.

Puoi specificare uno spazio dei nomi per un utente che esegue il forwarding e uno o più raccoglitori del server di inoltro. Se per un raccoglitore viene specificato uno spazio dei nomi per un raccoglitore, viene utilizzato quest'ultimo al posto dello spazio dei nomi del server di inoltro per i log di quel raccoglitore.

Per informazioni sull'utilizzo degli spazi dei nomi, consulta Spazi dei nomi degli asset.

Etichette

Predefinito:i campi sono vuoti se non sono specificati.

Puoi configurare le etichette per un server di inoltro, un raccoglitore o entrambi. Le etichette vengono utilizzate per collegare metadati arbitrari ai log utilizzando coppie chiave-valore. Le etichette possono essere configurate per un intero server di inoltro o all'interno di un raccoglitore specifico di un server di inoltro. Se vengono fornite entrambe le opzioni, le etichette vengono unite alle chiavi del raccoglitore e hanno la precedenza sulle chiavi del mittente se le chiavi si sovrappongono.

Filtri basati su espressioni regolari

Predefinito:i campi sono vuoti se non sono specificati.

Puoi configurare filtri basati su espressioni regolari per un autore di inoltro, un raccoglitore o entrambi. I filtri delle espressioni regolari consentono di bloccare o consentire le righe in entrata di un log non elaborato che corrispondono all'espressione.

I filtri utilizzano la sintassi RE2.

I filtri devono includere un'espressione regolare e, facoltativamente, definire un comportamento in caso di corrispondenza. Il comportamento predefinito per una corrispondenza è il blocco (puoi anche configurarlo esplicitamente come blocco).

In alternativa, puoi specificare i filtri con il comportamento allow. Se specifichi qualsiasi filtro di autorizzazione, il server di inoltro blocca tutti i log che non corrispondono ad almeno un filtro di autorizzazione.

È possibile definire un numero arbitrario di filtri. I filtri a blocchi hanno la precedenza sui filtri di autorizzazione.

Quando vengono definiti, i filtri devono avere un nome. I nomi dei filtri attivi vengono segnalati a Google Security Operations utilizzando metriche di integrità dello strumento di inoltro. I filtri definiti a livello di inoltro vengono uniti ai filtri definiti a livello di raccoglitore. In caso di nomi in conflitto, i filtri a livello di raccoglitore hanno la precedenza. Se non vengono definiti filtri a livello di inoltro o di raccoglitore, il comportamento deve essere consentire tutti.

Impostazioni server HTTP per la raccolta syslog

È possibile eseguire il deployment di Google Security Operations Forwarder in un ambiente in cui è installato un bilanciatore del carico di livello 4 tra l'origine dati e le istanze del forwarding. In questo modo puoi distribuire la raccolta dei log tra più forwardinger o inviare i log a un altro utente di inoltro in caso di esito negativo. Questa funzionalità è supportata solo con il tipo di raccolta syslog.

Il forwarding include un server HTTP integrato che risponde ai controlli di integrità HTTP dal bilanciatore del carico. Il server HTTP garantisce inoltre che i log non vadano persi durante l'avvio o l'arresto di un forwarding.

Le impostazioni del server nelle configurazioni del server di inoltro supportano l'impostazione delle durate di timeout e dei codici di stato restituiti in risposta ai controlli di integrità ricevuti nei deployment basati sull'orchestrazione e sullo scheduler dei container, nonché dai bilanciatori del carico tradizionali.

Usa i seguenti percorsi dell'URL per i controlli di integrità, idoneità e attività. I valori <host:port> sono definiti nella configurazione dell'utente di inoltro.

  • http://<host:port>/meta/available: controlli di attività per scheduler/orchestratori di container, come Kubernetes.
  • http://<host:port>/meta/ready: controlli di idoneità e controlli di integrità tradizionali del bilanciatore del carico.
Impostazione Descrizione
Timeout temporaneo La quantità di tempo in cui le nuove connessioni vengono ancora accettate dopo che lo stato di inoltro ha restituito uno stato Non pronto in risposta a un controllo di integrità. Questo è anche il tempo di attesa tra la ricezione di un segnale di arresto e l'inizio effettivo dell'arresto del server stesso. Ciò concede al bilanciatore del carico il tempo di rimuovere il forwarding dal pool.

I valori validi sono espressi in secondi. Ad esempio, per specificare 10 secondi, digita 10. Non sono consentiti valori decimali.

Predefinito: 15 secondi
Timeout svuotamento Il tempo di attesa prima che le connessioni attive si chiudano autonomamente prima di essere chiuse dal server. Ad esempio, per specificare 5 secondi, digita 5. Non sono consentiti valori decimali.

Predefinito: 10 secondi
Port (Porta) Il numero di porta su cui il server HTTP rimane in ascolto per i controlli di integrità dal bilanciatore del carico. Il valore deve essere compreso tra 1024 e 65535.

Predefinito: 8080
Indirizzo IP/nome host L'indirizzo IP, o un nome host che può essere risolto in un indirizzo IP, che il server deve ascoltare.

Predefinito: 0.0.0.0 (il sistema locale)
Timeout di lettura Utilizzato per ottimizzare il server HTTP. In genere, non è necessario modificare l'impostazione predefinita. Il tempo massimo consentito per leggere l'intera richiesta, sia l'intestazione che il corpo. Puoi impostare sia il campo di timeout di lettura sia il campo di timeout dell'intestazione di lettura.

Predefinito: 3 secondi
Timeout intestazione di lettura Utilizzato per ottimizzare il server HTTP. In genere, non è necessario modificare l'impostazione predefinita. Il tempo massimo consentito per leggere le intestazioni delle richieste. La scadenza per la lettura della connessione viene reimpostata dopo aver letto l'intestazione.

Predefinito: 3 secondi
Timeout scrittura Utilizzato per ottimizzare il server HTTP. In genere, non è necessario modificare l'impostazione predefinita. Il tempo massimo consentito per inviare una risposta. Viene reimpostata quando viene letta l'intestazione di una nuova richiesta.

Predefinito: 3 secondi
Timeout di inattività Utilizzato per ottimizzare il server HTTP. In genere, non è necessario modificare l'impostazione predefinita. Il tempo massimo di attesa per la prossima richiesta quando le connessioni inattive sono abilitate. Se il campo idle timeout è impostato su zero, viene utilizzato il valore del campo read timeout. Se entrambi i valori sono pari a zero, viene utilizzato il campo Timeout intestazione di lettura .

Predefinito: 3 secondi
Codice di stato disponibile Il codice di stato restituito dall'utente che ha effettuato l'inoltro quando viene ricevuto un controllo di attività e l'utente che ha effettuato l'inoltro è disponibile. Gli scheduler e gli orchestratori dei container, come Kubernetes, inviano spesso controlli di attività.

Predefinito: 204
Codice di stato pronto Il codice di stato restituito dal server di inoltro quando è pronto ad accettare il traffico in una delle seguenti situazioni:
  • Viene ricevuto un controllo di idoneità da uno scheduler o da uno strumento di orchestrazione di container, come Kubernetes.
  • Viene ricevuto un controllo di integrità da un bilanciatore del carico tradizionale.
Predefinito: 204
Codice di stato non pronto Il codice di stato restituito dal server di inoltro quando non è pronto ad accettare il traffico.

Predefinito: 503

Tipo di log

Per un elenco completo dei tipi di log supportati, consulta Set di dati supportati.

Buffering del disco

Il buffering su disco consente di eseguire il buffer dei messaggi in backlog sul disco anziché sulla memoria. I messaggi in backlog possono essere archiviati in caso di arresto anomalo del sistema di inoltro o dell'host sottostante. Tieni presente che l'abilitazione del buffering del disco può influire sulle prestazioni.

Se il buffering del disco è disabilitato, il raccoglitore utilizza 1 GB di memoria (RAM) per i log raccolti. Puoi specificare il valore massimo utilizzando l'impostazione Max byte del buffer di file nella configurazione del raccoglitore. Questo determina la dimensione massima della RAM utilizzata dal raccoglitore prima che i messaggi in backlog vengano inseriti nel buffer sul disco. Il valore predefinito è 1073741824. Il numero massimo è 4294967296.

Se esegui il forwarding utilizzando Docker, Google consiglia di montare un volume separato dal tuo volume di configurazione per motivi di isolamento. Inoltre, ogni input deve essere isolato con la propria directory o il proprio volume per evitare conflitti.

Impostazioni del tipo di raccoglitore

Ogni configurazione del raccoglitore deve specificare un tipo di raccoglitore. In questa sezione vengono descritti i tipi di raccoglitore e le relative impostazioni.

File

Utilizza il tipo di raccoglitore file per caricare i log da un singolo file di log.

Campo Campo obbligatorio o facoltativo per questo tipo Descrizione
Percorso file Obbligatorio Il percorso della directory e il nome del file. Ad esempio:

/opt/chronicle/edr/output/sample.txt

Kafka

Utilizza il tipo di raccoglitore kafka per importare dati dagli argomenti Kafka. I gruppi di consumer Kafka sono utilizzati per consentirti di eseguire il deployment di un massimo di tre forwardinger delle operazioni di sicurezza Google per estrarre i dati dallo stesso argomento Kafka. Per maggiori informazioni, vedi Kafka. Per ulteriori informazioni sui gruppi di consumer Kafka, consulta Kafka Consumer.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Nome utente Obbligatorio Il nome utente di un'identità utilizzata per l'autenticazione.
Password Obbligatorio La password dell'account associata al nome utente.
Argomento Obbligatorio L'argomento Kafka da cui importare i dati.
ID gruppo Obbligatorio Un ID gruppo.
Timeout Obbligatorio Il numero massimo di secondi di attesa prima che una connessione venga completata.

Predefinito: 60
Intermediari Facoltativo Inserisci un intermediario nella casella di testo. Ad esempio:

broker-1:9092


Fai clic su Aggiungi un altro per aggiungere un altro broker.

Nota: tutti i valori vengono sostituiti durante un'operazione di aggiornamento. Pertanto, per aggiornare un elenco di broker e aggiungerne uno nuovo, devi specificare tutti i broker esistenti e il nuovo broker.
Certificato TLS Obbligatorio Il percorso e il nome file del certificato. Ad esempio:

/path/to/cert.pem

Chiave del certificato TLS Obbligatorio Il percorso e il nome file della chiave del certificato. Ad esempio:

/path/to/cert.key

Versione TLS minima Obbligatorio La versione TLS minima.

Esempio: TLSv1_3
TLS non sicuro - Salta la verifica Obbligatorio Attiva la verifica della certificazione SSL.

Predefinito: disattivato

Pcap

Questa sezione tratta i seguenti argomenti:

Utilizzare pcap su Windows

Il forwarding di Google Security Operations può acquisire i pacchetti direttamente da un'interfaccia di rete utilizzando Npcap sui sistemi Windows.

Contatta l'assistenza di Google Security Operations per aggiornare il file di configurazione del forwarding di Google Security Operations in modo che supporti l'acquisizione dei pacchetti.

Per eseguire un forwarding Packet Capture (PCAP), devi disporre di quanto segue:

  • Installa Npcap sull'host Microsoft Windows.
  • Nell'host Windows, concedi a Google Security Operations i privilegi root o di amministratore per l'inoltro per monitorare l'interfaccia di rete.
  • Non sono necessarie opzioni della riga di comando.
  • Nell'installazione di Npcap, attiva la modalità di compatibilità di WinPcap.
Utilizzare pcap su Linux

Utilizza il tipo di raccoglitore pcap per acquisire i pacchetti direttamente da un'interfaccia di rete mediante libcap su Linux. Per ulteriori informazioni su libcap, consulta la pagina del manuale libcap - Linux.

I pacchetti vengono acquisiti e inviati a Google Security Operations anziché le voci di log. L'acquisizione dei pacchetti viene gestita solo da un'interfaccia locale.

Google Security Operations configura il forwarding di Google Security Operations con l'espressione BPF (BPF) utilizzata durante l'acquisizione dei pacchetti (ad esempio, porta 53 e non localhost). Per maggiori informazioni, vedi Filtri di pacchetto Berkeley.

Impostazioni raccoglitore per pcap

Le stesse impostazioni di configurazione del raccoglitore si applicano a un host Linux o Windows.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Interfaccia di rete Obbligatorio L'interfaccia per ascoltare i dati PCAP.

Nota: per un host Windows, questo è il GUID per l'interfaccia utilizzata per acquisire i pacchetti. Per ottenere questo valore, esegui getmac.exe sulla macchina in cui è installato Google Security Operations Forwarder (il server o la macchina in ascolto sulla porta span). L'output getmac.exe inizia con \Device\Tcpip_. Sostituiscila con \Device\NPF_.

Esempio:

\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro pacchetti Berkeley Obbligatorio Il Berkeley Packet Filtro (BPF) per pcap.

Esempio: udp port 53

Splunk

Utilizza il tipo di raccoglitore splunk per raccogliere dati Splunk.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Nome utente Obbligatorio Il nome utente di un'identità utilizzata per l'autenticazione.
Password Obbligatorio La password dell'account identificato dal nome utente.
Host Obbligatorio L'host o l'indirizzo IP dell'API REST Splunk.

Esempio: https://10.0.113.15
Porta Obbligatorio La porta dell'API REST Splunk.
Dimensioni minime della finestra Obbligatorio L'intervallo di tempo minimo in secondi passato alla query Splunk. Questo parametro viene utilizzato per l'ottimizzazione se il requisito è modificare la frequenza delle query sul server Splunk quando il server di inoltro è in stato stabile. Inoltre, in caso di ritardo, la chiamata all'API Splunk può essere effettuata più volte.

Predefinito: 10
Dimensione massima della finestra Obbligatorio L'intervallo di tempo massimo in secondi passato alla query Splunk. Questo parametro viene utilizzato per l'ottimizzazione nei casi in cui si verifichi un ritardo o se sono necessari più dati per query.

Modifica questo parametro (uguale a o maggiore di) quando modifichi il parametro minimo. Si possono verificare casi di ritardo se una chiamata di query Splunk richiede più tempo della dimensione massima della finestra.

Nota: gli intervalli di tempo non si sovrappongono mai quando viene eseguita una query sul server Splunk. L'intervallo di tempo richiesto è sempre compreso tra i parametri di finestra minimo e massimo.

Predefinito: 30
Stringa di query Obbligatorio La query utilizzata per filtrare i record all'interno di Splunk.

Esempio: search index=* sourcetype=dns
Modalità query Obbligatorio La modalità di query per Splunk.

Esempio: realtime
Certificato ignorato Facoltativo Se abilitato, il certificato viene ignorato.

Predefinito: disattivato

Syslog

Utilizza il tipo di raccoglitore syslog per raccogliere i dati di syslog. Puoi configurare qualsiasi appliance o server che supporti l'invio di dati syslog tramite una connessione TCP o UDP per inoltrare i relativi dati a Google Security Operations Forwarder. Puoi controllare i dati esatti che l'appliance o il server invia a Google Security Operations Forwarder. Google Security Operations Forwarder potrà quindi inoltrare i dati a Google Security Operations.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Protocollo Obbligatorio Il protocollo di connessione che il raccoglitore utilizzerà per ascoltare i dati di syslog. I valori validi sono:

  • TCP
  • UDP
Indirizzo Obbligatorio L'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e in ascolto dei dati di syslog.
Porta Obbligatorio La porta di destinazione in cui si trova il raccoglitore e rimane in ascolto dei dati syslog.
Dimensione del buffer Obbligatorio La dimensione in byte del buffer del socket.

Il valore predefinito per TCP è 65536.
Il valore predefinito per UDP è 8192.
Timeout connessione Obbligatorio Il numero di secondi di inattività dopo i quali la connessione TCP viene interrotta.

Predefinito: 60
Certificato TLS Obbligatorio Il percorso e il nome file del certificato. Ad esempio:

/path/to/cert.pem

Chiave del certificato TLS Obbligatorio Il percorso e il nome file della chiave del certificato. Ad esempio:

/path/to/cert.key

Versione TLS minima Obbligatorio La versione TLS minima.

Esempio: TLSv1_3
TLS non sicuro - Salta la verifica Obbligatorio Attiva la verifica della certificazione SSL.

Predefinito: disattivato

WebProxy

Oltre a specificare i valori dei campi per Google SecOps Forwarder su Windows, installa la libreria Npcap sul computer o sul dispositivo Windows. Questa operazione non è necessaria per Google SecOps Forwarder su sistemi Linux.

Campo Obbligatorio o facoltativo per questo tipo Descrizione
Interfaccia di rete Obbligatorio L'interfaccia per ascoltare i dati del proxy web.
Filtro pacchetti Berkeley Obbligatorio Il Berkeley Packet Filtro (BPF) per il proxy web.

Esempio: udp port 53

Risoluzione dei problemi

Dati syslog non ricevuti dall'utente che esegue l'inoltro

Assicurati che le impostazioni syslog del raccoglitore siano configurate in modo da utilizzare il protocollo di connessione corretto (TCP o UDP) per i dati in entrata. Per saperne di più, consulta Modificare un raccoglitore.