Gerenciar as configurações de encaminhador na interface do Chronicle

Nesta página, descrevemos como criar, gerenciar e fazer o download das configurações do encaminhador usando a interface do usuário (UI) do Chronicle. Você também pode executar essas tarefas de maneira programática usando a API Forwarder Management.

Convenções de nomeação

Este documento usa estas convenções de nomenclatura:

  • Chronicle Forwarder: o componente de software implantado.
  • forwarder: o nome curto de uma configuração de encaminhador quando ela é armazenada na instância do Chronicle.
  • collector: o nome curto de uma configuração de coletor quando eles são armazenados na instância do Chronicle.

Adicionar encaminhadores

Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador do Chronicle. Adicionar um encaminhador permite que você faça o seguinte:

  • Nomeie uma configuração de encaminhador.
  • Especifica os valores de configuração do encaminhador.

Adicionar um novo encaminhador cria uma configuração de encaminhador parcialmente completa. Para concluir a configuração do encaminhador, é preciso adicionar um coletor. Depois de adicionar pelo menos um coletor, faça o download da configuração do encaminhador e implante-a em uma máquina ou dispositivo em que o Chronicle Forwarder esteja instalado.

Em vez de adicionar um novo encaminhador, é possível clone um ou mais encaminhadores atuais. Para mais detalhes, consulte Encaminhadores de clones.

Para adicionar um novo encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Clique em Adicionar novo encaminhador.
  4. No campo Nome do encaminhador, digite um nome.

  5. Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:

    • Compactação de upload:selecione Yes para compactar os dados do registro antes do envio para o Chronicle. O padrão é Não. Para ver detalhes sobre a compactação de dados, consulte Compactação de upload.
    • Namespace do recurso:digite um namespace que identifique os registros coletados por esse encaminhador. Esse namespace será aplicado a todos os coletores adicionados ao encaminhador, a menos que você especifique um namespace no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado em vez do namespace do encaminhador nos registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave do rótulo e Valor do rótulo:digite uma chave e um valor. Se preferir, também é possível clicar em Adicionar novo rótulo para incluir um ou mais pares de chave-valor de rótulos. Essa é uma configuração global que se aplica ao encaminhador e aos coletores do encaminhador, a menos que seja substituída no nível do coletor. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtram registros com base na expressão regular (sintaxe RE2) correspondente a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida será allow ou block em uma correspondência. Por padrão, incluindo quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha de entrada e depois continua avaliando a próxima linha para encontrar uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  6. (Somente coleta de syslog) Opcional: ative as Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para configurar o balanceamento de carga e as opções de alta disponibilidade para a coleta de syslog no Linux. Para ver detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleta syslog.

  7. Clique em Enviar.

    O encaminhador é adicionado, e a janela Adicionar configuração do coletor é exibida.

  8. No campo Nome do coletor, digite um nome.

  9. Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:

    • Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  10. Opcional: expanda a seção Valores de configuração e especifique um destes itens:

    • Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador nos registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtram os registros com base na expressão regular (sintaxe RE2) correspondente a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser allow ou block após uma correspondência. Por padrão, incluindo quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha de entrada e depois continua avaliando a próxima linha para encontrar uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  11. Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é 1048576.

  12. Opcional: Buffer de disco:defina o botão de alternância como ativado para ativar o armazenamento em buffer do disco para o coletor. Para mais detalhes sobre o armazenamento em buffer de disco, consulte Buffer de disco. Quando ativado, você pode especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório para arquivos gravados.
    • Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens de backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  13. Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações que você pode definir. Para mais detalhes sobre os tipos de coletor e as configurações deles, consulte Configurações do tipo de coletor.

  14. Clique em Enviar.

Adicionar coletores

É possível adicionar um ou mais coletores a um encaminhador atual.

Ao adicionar um coletor, você pode fazer o seguinte:

  • Nomeie o coletor.
  • Especifique o tipo de registro a ser coletado, como Pan Firewall, Cisco ASA Firewall e outros.
  • Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
  • Especifique os valores de configuração do coletor.

Depois de adicionar pelo menos um coletor a um encaminhador, faça o download da configuração dele e implante-a em uma máquina ou dispositivo em que o Chronicle Forwarder esteja instalado.

Para adicionar um novo coletor a um encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores.
  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.
  4. Mantenha o ponteiro do mouse sobre o encaminhador em que você quer adicionar um coletor. O ícone do menu de expansão é exibido.
  5. Clique no ícone do menu de expansão.
  6. Escolha Adicionar novo coletor.
  7. No campo Nome do coletor, digite um nome.

  8. Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:

    • Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
    • Selecione um tipo de registro na lista.

  9. Opcional: expanda a seção Valores de configuração e especifique um destes itens:

    • Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador nos registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
    • Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
    • Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtram os registros com base na expressão regular (sintaxe RE2) correspondente a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser allow ou block após uma correspondência. Por padrão, incluindo quando o comportamento do filtro é unspecified, o comportamento em uma correspondência é block a linha de entrada e depois continua avaliando a próxima linha para encontrar uma correspondência. Para mais informações, consulte Filtros de expressão regular.

  10. Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:

    • Máximo de segundos por lote: o número de segundos entre os lotes. O padrão é 10.
    • Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é 1048576.

  11. Opcional: Buffer de disco:defina o botão de alternância como ativado para ativar o armazenamento em buffer do disco para o coletor. Para mais detalhes sobre o armazenamento em buffer de disco, consulte Buffer de disco. Quando ativado, você pode especificar as seguintes configurações:

    • Caminho do diretório:o caminho do diretório para arquivos gravados.
    • Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens de backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

  12. Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações que você pode definir. Para mais detalhes sobre os tipos de coletor e as configurações deles, consulte Configurações do tipo de coletor.

  13. Clique em Enviar.

Gerenciar encaminhadores

Listar os encaminhadores em uma instância do Chronicle

Para listar os encaminhadores em uma instância do Chronicle, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
  3. Opcional: classifique a lista clicando na coluna Nome ou Última atualização.

Também é possível usar o campo de pesquisa para restringir os resultados na lista.

Clone encaminhadores

A clonagem permite criar uma cópia de uma ou mais configurações de encaminhador.

Para clonar encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.

  2. Clique no ícone do menu de expansão.

  3. Selecione Clonar selecionado.

  4. Clique em Clone. Uma cópia de cada encaminhador é adicionada.

Editar uma configuração de encaminhador

Para editar uma configuração de encaminhador, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Mantenha o ponteiro do mouse sobre o encaminhador em que você quer editar a configuração. O ícone do menu de expansão é exibido.

  4. Clique no ícone do menu de expansão.

  5. Escolha Editar configuração do encaminhador.

  6. Faça as alterações na configuração. Para saber mais, consulte as etapas de configuração no procedimento para adicionar encaminhadores.

  7. Clique em Enviar.

Excluir encaminhadores

Para excluir encaminhadores, siga estas etapas:

  1. Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.

  2. Clique no ícone do menu de expansão.

  3. Escolha Excluir selecionados.

  4. Clique em Excluir selecionados.

Gerenciar coletores

Listar os coletores em uma instância do Chronicle

Para listar os coletores em uma instância do Chronicle, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
  3. Clique na seta de expansão ao lado do título da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada encaminhador.
  4. Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.

Editar uma configuração de coletor

Para editar uma configuração de coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador em que você quer editar um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar vai aparecer.

  6. Clique em Editar.

  7. Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.

  8. Clique em Enviar.

Excluir um coletor

Para excluir um coletor, siga estas etapas:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Clique na seta de expansão do encaminhador em que você quer excluir um coletor.

  4. Se houver mais de cinco coletores, clique no link Ver todos os coletores.

  5. Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.

  6. Clique no link Excluir.

  7. Para confirmar, clique no botão Excluir.

Fazer o download dos arquivos de configuração

O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, receberá um erro.

É possível fazer o download do arquivo de configuração do encaminhador (.conf), do arquivo de autenticação (_auth.conf) ou de ambos para qualquer encaminhador listado na sua instância do Chronicle, desde que ela tenha pelo menos um coletor. Depois de fazer o download dos arquivos, implante-os no sistema Windows ou Linux em que o Chronicle Forwarder está localizado.

Para fazer o download dos arquivos de configuração do encaminhador:

  1. Na barra de navegação, clique em Configurações.
  2. Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.

  3. Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.

  4. Mantenha o ponteiro do mouse sobre o encaminhador cujos arquivos de configuração você quer fazer o download. O ícone do menu de expansão é exibido.

  5. Clique no ícone do menu de expansão.

  6. Selecione Fazer o download.

  7. Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:

    • Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo .conf.
    • Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo _auth.conf.
    • Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.

Referência das definições de configuração

As configurações de encaminhadores incluem um ou mais coletores.

É possível definir as seguintes configurações no nível do encaminhador:

Defina as configurações a seguir no nível do encaminhador e do coletor. Para entender o resultado da definição da configuração em ambos os níveis, consulte a seção da configuração.

É possível definir as seguintes configurações no nível do coletor:

Fazer upload da compactação

Padrão:ativada

Você pode configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes do upload no Chronicle. Isso reduz o consumo de largura de banda da rede durante a transferência para o Chronicle. No entanto, a compactação pode aumentar o uso da CPU.

A compensação entre o uso da largura de banda e da CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo da largura de banda da rede. Por exemplo, os registros baseados em texto são compactados bem e podem oferecer economias de largura de banda substanciais com baixo uso da CPU. No entanto, payloads criptografados de pacotes brutos não são bem compactados e geram maior uso de CPU.

Namespaces de recursos

Padrão:o campo fica vazio quando não é especificado.

É possível configurar um namespace de recursos para um encaminhador, um coletor ou ambos. É possível usar um namespace para identificar registros de segmentos de rede distintos e eliminar o conflito de endereços IP sobrepostos. Todos os namespaces configurados aparecem com os recursos associados na interface do usuário do Chronicle. Também é possível pesquisar namespaces usando o recurso Chronicle Search.

É possível especificar um namespace para um encaminhador e namespaces diferentes para um ou mais coletores do encaminhador. Se um namespace for especificado para um coletor, o namespace do coletor será usado, em vez do namespace do encaminhador para os registros desse coletor.

Para informações sobre o uso de namespaces, consulte Namespaces de recursos.

Rótulos

Padrão:os campos vão ficar vazios se não for especificado.

É possível configurar rótulos para um encaminhador, um coletor ou ambos. Eles são usados para anexar metadados arbitrários aos registros usando pares de chave-valor. Os rótulos podem ser configurados para um encaminhador inteiro ou dentro de um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor que têm precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.

Filtros de expressão regular

Padrão:os campos vão ficar vazios se não for especificado.

É possível configurar filtros de expressão regular para um encaminhador, um coletor ou ambos. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um registro bruto que correspondam à expressão.

Os filtros usam a sintaxe RE2 (em inglês).

Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando houver uma correspondência. O comportamento padrão em uma correspondência é bloquear (você também pode configurá-lo explicitamente como bloco).

Como alternativa, especifique filtros com o comportamento allow. Se você especificar algum filtro de permissão, o encaminhador vai bloquear todos os registros que não correspondam a pelo menos um filtro de permissão.

É possível definir um número arbitrário de filtros. Os filtros de bloco têm precedência sobre os filtros de permissão.

Quando os filtros são definidos, eles precisam receber um nome. Os nomes dos filtros ativos são informados ao Chronicle usando métricas de integridade do encaminhador. Os filtros definidos no nível do encaminhador são mesclados com os filtros definidos no nível do coletor. Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento será permitir todos.

Configurações do servidor HTTP para a coleção syslog

O Chronicle Forwarder pode ser implantado em um ambiente em que um balanceador de carga de camada 4 é instalado entre as instâncias da fonte de dados e do encaminhador. Isso permite que você distribua a coleta de registros em vários encaminhadores ou envie registros para um encaminhador diferente se um deles falhar. Esse recurso é compatível apenas com o tipo de coleção do syslog.

O encaminhador inclui um servidor HTTP integrado que responde a verificações de integridade HTTP do balanceador de carga. O servidor HTTP também ajuda a garantir que os registros não sejam perdidos durante a inicialização ou o encerramento de um encaminhador.

As definições do servidor nas configurações do encaminhador são compatíveis com a definição de durações de tempo limite e códigos de status retornados em resposta a verificações de integridade recebidas no programador de contêineres e nas implantações baseadas em orquestração e de balanceadores de carga tradicionais.

Use os seguintes caminhos de URL para verificações de integridade, prontidão e atividade. Os valores <host:port> são definidos na configuração do encaminhador.

  • http://<host:port>/meta/available: verificações de atividade para programadores/orquestradores de contêineres, como o Kubernetes.
  • http://<host:port>/meta/ready: Verificações de prontidão e verificações de integridade do balanceador de carga tradicional.
Configuração Descrição
Tempo limite otimizado o tempo que novas conexões ainda são aceitas depois que o encaminhador retorna um status de não leitura em resposta a uma verificação de integridade. Esse também é o tempo de espera entre o recebimento de um sinal para parar e o início do desligamento do próprio servidor. Isso permite que o balanceador de carga tenha tempo para remover o encaminhador do pool.

Os valores válidos estão em segundos. Por exemplo, para especificar 10 segundos, digite 10.. Valores decimais não são permitidos.

Padrão:15 segundos
Tempo limite de drenagem O tempo que o encaminhador espera até que as conexões ativas sejam fechadas por conta própria antes de serem fechadas pelo servidor. Por exemplo, para especificar cinco segundos, digite 5.. Valores decimais não são permitidos.

Padrão: 10 segundos
Port O número da porta em que o servidor HTTP detecta verificações de integridade do balanceador de carga. O valor precisa estar entre 1.024 e 65.535.

Padrão: 8080
Endereço IP/nome do host O endereço IP ou um nome de host que possa ser resolvido em um endereço IP que o servidor deve detectar.

Padrão:0.0.0.0 (o sistema local)
Tempo limite de leitura Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar a configuração padrão. O tempo máximo permitido para ler toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir os campos read timeout e read header timeout.

Padrão:três segundos
Tempo limite de leitura do cabeçalho Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar a configuração padrão. A quantidade máxima de tempo permitida para ler cabeçalhos de solicitação. O prazo de leitura da conexão é redefinido após a leitura do cabeçalho.

Padrão:três segundos
Tempo limite de gravação Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar a configuração padrão. O tempo máximo permitido para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido.

Padrão:três segundos
Tempo limite de inatividade Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar a configuração padrão. O tempo máximo de espera pela próxima solicitação quando conexões inativas estão ativadas. Caso o campo idle timeout seja definido como zero, o valor do campo read timeout será usado. Se ambos forem zero, o campo tempo limite do cabeçalho de leitura será usado.

Padrão:três segundos
Código de status disponível O código de status que o encaminhador retorna quando uma verificação de atividade é recebida e o encaminhador está disponível. Programadores e orquestradores de contêineres, como o Kubernetes, geralmente enviam verificações de atividade.

Padrão: 204
Código de status pronto O código de status que o encaminhador retorna quando está pronto para aceitar o tráfego em uma das seguintes situações:
  • Uma verificação de prontidão é recebida de um programador ou orquestrador de contêiner, como o Kubernetes.
  • Uma verificação de integridade é recebida de um balanceador de carga tradicional.
Padrão:204
Código de status não pronto O código de status que o encaminhador retorna quando não está pronto para aceitar o tráfego.

Padrão: 503

Tipo de registro

Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.

Buffer de disco

Com o armazenamento em buffer de disco, é possível armazenar em buffer as mensagens de backlog para o disco, e não para a memória. As mensagens acumuladas podem ser armazenadas caso o encaminhador falhe ou o host subjacente falhe. A ativação do armazenamento em buffer do disco pode afetar o desempenho.

Se o armazenamento em buffer do disco estiver desativado, o coletor usará 1 GB de memória (RAM) para os registros coletados. Você pode especificar o máximo usando a configuração Máximo de bytes de buffer de arquivo na configuração do coletor. Isso determina o tamanho máximo de RAM usado pelo coletor antes que as mensagens de backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.

Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um volume separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos.

Configurações do tipo de coletor

Cada configuração de coletor precisa especificar um tipo. Nesta seção, descrevemos os tipos de coletores e as configurações deles.

Arquivo

Use o tipo de coletor file para fazer upload de registros de um único arquivo.

Campo Campo obrigatório ou opcional para esse tipo Descrição
Caminho do arquivo Obrigatório O caminho do diretório e o nome do arquivo. Por exemplo:


/opt/chronicle/edr/output/sample.txt

Kafka

Use o tipo de coletor kafka para ingerir dados de tópicos do Kafka. Os grupos de consumidores do Kafka são aproveitados para permitir a implantação de até três encaminhadores do Chronicle para extrair dados do mesmo tópico do Kafka. Para mais informações, consulte Kafka (em inglês). Para mais informações sobre grupos de consumidores do Kafka, consulte Consumidor do Kafka.

Campo Obrigatório ou opcional para esse tipo Descrição
Nome do usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta associada ao nome de usuário.
Tópico Obrigatório O tópico do Kafka de onde os dados serão ingeridos.
ID do grupo Obrigatório Um ID de grupo.
Tempo limite Obrigatório O número máximo de segundos que uma discagem aguardará até que uma conexão seja concluída.

Padrão: 60
Agentes Opcional Insira um corretor na caixa de texto. Por exemplo:


broker-1:9092


Clique em Adicionar outro para adicionar outro agente.

Observação:todos os valores são substituídos durante uma operação de atualização. Portanto, para atualizar uma lista de agentes para adicionar um novo agente, especifique todos os agentes atuais e o novo agente.
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:


/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome de arquivo da chave do certificado. Por exemplo:


/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo: TLSv1_3
Pular verificação insegura de TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão: desativado

Pcap

Esta seção abrange os seguintes tópicos:

Como usar pcap no Windows

O encaminhador do Chronicle pode capturar pacotes diretamente de uma interface de rede usando Npcap nos sistemas Windows.

Entre em contato com o suporte do Chronicle para atualizar o arquivo de configuração de encaminhador para oferecer suporte à captura de pacotes.

Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:

  • Instale o Npcap no host do Microsoft Windows.
  • No host do Windows, conceda privilégios de raiz ou de administrador do Chronicle para monitorar a interface de rede.
  • Nenhuma opção de linha de comando é necessária.
  • Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux

Use o tipo de coletor pcap para capturar pacotes diretamente de uma interface de rede usando libcap no Linux. Para mais informações sobre libcap, consulte a página manual do libcap — Linux.

Os pacotes são capturados e enviados para o Chronicle em vez de entradas de registro. A captura de pacote é processada apenas em uma interface local.

O Chronicle configura o encaminhador do Chronicle com a expressão Berkeley Packet Filter (BPF) usada ao capturar pacotes (por exemplo, na porta 53, e não no localhost). Para mais informações, consulte Filtros de pacotes de Berkeley (em inglês).

Configurações do coletor para pcap

As mesmas definições de configuração do coletor se aplicam a um host do Linux ou do Windows.

Campo Obrigatório ou opcional para esse tipo Descrição
Interface de rede Obrigatório A interface para detectar dados do PCAP.

Observação:para um host do Windows, é o GUID da interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o Chronicle Forwarder está instalado (o servidor ou a máquina que detecta a porta span). A saída getmac.exe começa com \Device\Tcpip_. Substitua por \Device\NPF_.

Exemplo:


\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filtro de pacotes Berkeley Obrigatório O Filtro de Pacote Berkeley (BPF) para pcap.

Exemplo:udp port 53

Splunk

Use o tipo de coletor splunk para coletar dados do Splunk.

Campo Obrigatório ou opcional para esse tipo Descrição
Nome do usuário Obrigatório O nome de usuário de uma identidade usada para autenticação.
Senha Obrigatório A senha da conta identificada pelo nome de usuário.
Host Obrigatório O host ou o endereço IP da API REST do Splunk.

Exemplo:https://10.0.113.15
Porta Obrigatório A porta da API REST do Splunk.
Tamanho mínimo da janela Obrigatório O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Esse parâmetro é usado para ajuste se o requisito for alterar a frequência com que o servidor do Splunk é consultado quando o encaminhador está em estado constante. Além disso, quando há um atraso, a chamada da API Splunk pode ser feita várias vezes.

Padrão: 10
Tamanho máximo da janela Obrigatório O intervalo de tempo máximo em segundos passado para a consulta do Splunk. Esse parâmetro é usado para ajustes nos casos em que há um atraso ou se mais dados são necessários por consulta.

Altere esse parâmetro (igual ou maior que) ao mudar o parâmetro mínimo. Casos de atraso podem ocorrer se uma chamada de consulta do Splunk estiver demorando mais do que o tamanho máximo da janela.

Observação : os períodos nunca se sobrepõem quando o servidor do Splunk é consultado. O período consultado está sempre entre os parâmetros de janela mínimo e máximo.

Padrão: 30
String de consulta Obrigatório Consulta usada para filtrar registros no Splunk.

Exemplo:search index=* sourcetype=dns
Modo de consulta Obrigatório O modo de consulta do Splunk.

Exemplo:realtime
Certificado ignorado Opcional Se ativado, o certificado é ignorado.

Padrão: desativado

Syslog

Use o tipo de coletor syslog para coletar dados syslog. É possível configurar qualquer dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP para encaminhar os dados ao encaminhador do Chronicle. É possível controlar os dados exatos que o dispositivo ou servidor envia ao Chronicle Forwarder. O Chronicle Forwarder pode encaminhar os dados para ele.

Campo Obrigatório ou opcional para esse tipo Descrição
Protocolo Obrigatório O protocolo de conexão que o coletor vai usar para detectar dados syslog. Os valores válidos são:

  • TCP
  • UDP
Endereço Obrigatório O endereço IP de destino ou o nome do host em que o coletor reside e detecta dados syslog.
Porta Obrigatório A porta de destino em que o coletor reside e detecta dados syslog.
Tamanho do buffer Obrigatório O tamanho em bytes do buffer do soquete.

O padrão para TCP é 65536.
O padrão para UDP é 8192.
Tempo limite de conexão Obrigatório Número de segundos de inatividade após o qual a conexão TCP é desativada.

Padrão: 60
Certificado TLS Obrigatório O caminho e o nome de arquivo do certificado. Por exemplo:


/path/to/cert.pem

Chave de certificado TLS Obrigatório O caminho e o nome de arquivo da chave do certificado. Por exemplo:


/path/to/cert.key

Versão mínima de TLS Obrigatório A versão mínima do TLS.

Exemplo:TLSv1_3
Pular verificação insegura de TLS Obrigatório Ativa a verificação de certificação SSL.

Padrão: desativado

WebProxy

Além de especificar os valores de campo mostrados abaixo, instale a biblioteca Npcap para o Chronicle Forwarder no Windows. Isso não é necessário para o Chronicle Forwarder em sistemas Linux.

Campo Obrigatório ou opcional para esse tipo Descrição
Interface de rede Obrigatório A interface para detectar dados de proxy da Web.
Filtro de pacotes Berkeley Obrigatório O Filtro de pacotes Berkeley (BPF) para o proxy da Web.

Exemplo:udp port 53

Solução de problemas

Os dados syslog não são recebidos pelo encaminhador

Verifique se as configurações do syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.