Gerenciar as configurações de encaminhador na interface do Chronicle
Nesta página, descrevemos como criar, gerenciar e fazer o download das configurações do encaminhador usando a interface do usuário (UI) do Chronicle. Você também pode executar essas tarefas de maneira programática usando a API Forwarder Management.
Convenções de nomeação
Este documento usa estas convenções de nomenclatura:
- Chronicle Forwarder: o componente de software implantado.
- forwarder: o nome curto de uma configuração de encaminhador quando ela é armazenada na instância do Chronicle.
- collector: o nome curto de uma configuração de coletor quando eles são armazenados na instância do Chronicle.
Adicionar encaminhadores
Adicionar um encaminhador é a primeira etapa da configuração de um encaminhador do Chronicle. Adicionar um encaminhador permite que você faça o seguinte:
- Nomeie uma configuração de encaminhador.
- Especifica os valores de configuração do encaminhador.
Adicionar um novo encaminhador cria uma configuração de encaminhador parcialmente completa. Para concluir a configuração do encaminhador, é preciso adicionar um coletor. Depois de adicionar pelo menos um coletor, faça o download da configuração do encaminhador e implante-a em uma máquina ou dispositivo em que o Chronicle Forwarder esteja instalado.
Em vez de adicionar um novo encaminhador, é possível clone um ou mais encaminhadores atuais. Para mais detalhes, consulte Encaminhadores de clones.
Para adicionar um novo encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Clique em Adicionar novo encaminhador.
- No campo Nome do encaminhador, digite um nome.
Opcional: expanda a seção Valores de configuração e especifique uma das seguintes opções:
- Compactação de upload:selecione Yes para compactar os dados do registro antes do envio para o Chronicle. O padrão é Não. Para ver detalhes sobre a compactação de dados, consulte Compactação de upload.
- Namespace do recurso:digite um namespace que identifique os registros coletados por esse encaminhador. Esse namespace será aplicado a todos os coletores adicionados ao encaminhador, a menos que você especifique um namespace no nível do coletor. Se você especificar um namespace no nível do encaminhador e do coletor, o namespace do coletor será usado em vez do namespace do encaminhador nos registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave do rótulo e Valor do rótulo:digite uma chave e um valor. Se preferir, também é possível clicar em Adicionar novo rótulo para incluir um ou mais pares de chave-valor de rótulos. Essa é uma configuração global que se aplica ao encaminhador e aos coletores do encaminhador, a menos que seja substituída no nível do coletor. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtram registros com base na expressão regular (sintaxe RE2) correspondente a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida será
allow
oublock
em uma correspondência. Por padrão, incluindo quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha de entrada e depois continua avaliando a próxima linha para encontrar uma correspondência. Para mais informações, consulte Filtros de expressão regular.
(Somente coleta de syslog) Opcional: ative as Configurações do servidor para configurar o servidor HTTP integrado do encaminhador, que pode ser usado para configurar o balanceamento de carga e as opções de alta disponibilidade para a coleta de syslog no Linux. Para ver detalhes sobre essas configurações, consulte Configurações do servidor HTTP para a coleta syslog.
Clique em Enviar.
O encaminhador é adicionado, e a janela Adicionar configuração do coletor é exibida.
No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:
- Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique um destes itens:
- Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador nos registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtram os registros com base na expressão regular
(sintaxe RE2)
correspondente a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser
allow
oublock
após uma correspondência. Por padrão, incluindo quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha de entrada e depois continua avaliando a próxima linha para encontrar uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: Buffer de disco:defina o botão de alternância como ativado para ativar o armazenamento em buffer do disco para o coletor. Para mais detalhes sobre o armazenamento em buffer de disco, consulte Buffer de disco. Quando ativado, você pode especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório para arquivos gravados.
- Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens de backlog sejam armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações que você pode definir. Para mais detalhes sobre os tipos de coletor e as configurações deles, consulte Configurações do tipo de coletor.
Clique em Enviar.
Adicionar coletores
É possível adicionar um ou mais coletores a um encaminhador atual.
Ao adicionar um coletor, você pode fazer o seguinte:
- Nomeie o coletor.
- Especifique o tipo de registro a ser coletado, como Pan Firewall, Cisco ASA Firewall e outros.
- Especifique o tipo de coletor: File, Kafka, PCAP, Splunk, Syslog ou WebProxy.
- Especifique os valores de configuração do coletor.
Depois de adicionar pelo menos um coletor a um encaminhador, faça o download da configuração dele e implante-a em uma máquina ou dispositivo em que o Chronicle Forwarder esteja instalado.
Para adicionar um novo coletor a um encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores.
- Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.
- Mantenha o ponteiro do mouse sobre o encaminhador em que você quer adicionar um coletor. O ícone do menu de expansão é exibido.
- Clique no ícone do menu de expansão.
- Escolha Adicionar novo coletor.
- No campo Nome do coletor, digite um nome.
Clique no campo Tipo de registro para ver uma lista de tipos de registro e siga um destes procedimentos:
- Se você não encontrar o tipo de registro que quer, comece a digitar o nome dele na caixa para ver mais sugestões. Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
- Selecione um tipo de registro na lista.
Opcional: expanda a seção Valores de configuração e especifique um destes itens:
- Namespace do recurso:digite um namespace que identifique os registros coletados por esse coletor. Se um namespace for especificado para um coletor, o namespace do coletor será usado no lugar do namespace do encaminhador nos registros desse coletor. Para mais informações sobre namespaces de recursos, consulte Namespaces de recursos.
- Chave e valor do rótulo:digite uma chave e um valor. Se quiser, também é possível clicar em Adicionar outro para incluir um ou mais pares de chave-valor de rótulos. Nos registros deste coletor, essa configuração substitui os rótulos especificados no nível do encaminhador. Para mais detalhes, consulte Rótulos.
- Descrição do filtro, Expressão regular e Comportamento do filtro:adicione filtros que filtram os registros com base na expressão regular
(sintaxe RE2)
correspondente a cada linha recebida do registro bruto. O comportamento do filtro determina se a linha recebida vai ser
allow
oublock
após uma correspondência. Por padrão, incluindo quando o comportamento do filtro éunspecified
, o comportamento em uma correspondência éblock
a linha de entrada e depois continua avaliando a próxima linha para encontrar uma correspondência. Para mais informações, consulte Filtros de expressão regular.
Opcional: expanda a seção Configurações avançadas e especifique uma das seguintes opções:
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
10
. - Máximo de bytes por lote: o número de bytes na fila antes do upload em lote do encaminhador. O padrão é
1048576
.
- Máximo de segundos por lote: o número de segundos entre os lotes. O
padrão é
Opcional: Buffer de disco:defina o botão de alternância como ativado para ativar o armazenamento em buffer do disco para o coletor. Para mais detalhes sobre o armazenamento em buffer de disco, consulte Buffer de disco. Quando ativado, você pode especificar as seguintes configurações:
- Caminho do diretório:o caminho do diretório para arquivos gravados.
- Máximo de bytes do buffer de arquivo: o tamanho máximo do disco usado pelo coletor antes que as mensagens de backlog sejam armazenadas em buffer no disco. O padrão é
1073741824
. O máximo é4294967296
.
Clique no campo Tipo de coletor e selecione um tipo. Cada tipo de coletor tem as próprias configurações que você pode definir. Para mais detalhes sobre os tipos de coletor e as configurações deles, consulte Configurações do tipo de coletor.
Clique em Enviar.
Gerenciar encaminhadores
Listar os encaminhadores em uma instância do Chronicle
Para listar os encaminhadores em uma instância do Chronicle, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
- Opcional: classifique a lista clicando na coluna Nome ou Última atualização.
Também é possível usar o campo de pesquisa para restringir os resultados na lista.
Clone encaminhadores
A clonagem permite criar uma cópia de uma ou mais configurações de encaminhador.
Para clonar encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer clonar.
Clique no
ícone do menu de expansão.Selecione Clonar selecionado.
Clique em Clone. Uma cópia de cada encaminhador é adicionada.
Editar uma configuração de encaminhador
Para editar uma configuração de encaminhador, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Mantenha o ponteiro do mouse sobre o encaminhador em que você quer editar a configuração. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Escolha Editar configuração do encaminhador.
Faça as alterações na configuração. Para saber mais, consulte as etapas de configuração no procedimento para adicionar encaminhadores.
Clique em Enviar.
Excluir encaminhadores
Para excluir encaminhadores, siga estas etapas:
Na página "Encaminhadores", marque a caixa de seleção de cada encaminhador que você quer excluir.
Clique no
ícone do menu de expansão.Escolha Excluir selecionados.
Clique em Excluir selecionados.
Gerenciar coletores
Listar os coletores em uma instância do Chronicle
Para listar os coletores em uma instância do Chronicle, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
- Clique na seta de expansão ao lado do título da coluna Nome. Isso expande todos os encaminhadores, exibindo até cinco coletores para cada encaminhador.
- Se um encaminhador tiver mais de cinco coletores, clique no link Ver todos os coletores.
Editar uma configuração de coletor
Para editar uma configuração de coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Clique na
seta de expansão do encaminhador em que você quer editar um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Editar vai aparecer.
Clique em Editar.
Faça as alterações na configuração. Para mais informações, consulte as etapas de configuração no procedimento para adicionar coletores.
Clique em Enviar.
Excluir um coletor
Para excluir um coletor, siga estas etapas:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Clique na
seta de expansão do encaminhador em que você quer excluir um coletor.Se houver mais de cinco coletores, clique no link Ver todos os coletores.
Mantenha o ponteiro do mouse sobre o coletor em que você quer editar a configuração. O link Excluir vai aparecer.
Clique no link Excluir.
Para confirmar, clique no botão Excluir.
Fazer o download dos arquivos de configuração
O download de um encaminhador requer pelo menos um coletor. Se você tentar fazer o download de um encaminhador sem um coletor, receberá um erro.
É possível fazer o download do arquivo de configuração do encaminhador (.conf
), do arquivo de autenticação (_auth.conf
) ou de ambos para qualquer encaminhador listado na sua instância do Chronicle, desde que ela tenha pelo menos um coletor. Depois de fazer o download dos arquivos, implante-os no sistema Windows ou Linux em que o Chronicle Forwarder está localizado.
Para fazer o download dos arquivos de configuração do encaminhador:
- Na barra de navegação, clique em Configurações.
- Em "Configurações", clique em Encaminhadores. A página exibe a lista de encaminhadores.
Na página Encaminhadores, encontre o encaminhador que você quer. Se a lista de encaminhadores for longa, use o campo Pesquisa.
Mantenha o ponteiro do mouse sobre o encaminhador cujos arquivos de configuração você quer fazer o download. O ícone do menu de expansão
é exibido.Clique no
ícone do menu de expansão.Selecione Fazer o download.
Na caixa de diálogo Fazer o download da configuração do encaminhador, siga um destes procedimentos:
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
.conf
. - Para fazer o download do arquivo de autenticação do encaminhador, clique no ícone de download ao lado do tipo de arquivo
_auth.conf
. - Para fazer o download dos dois arquivos, clique em Fazer o download de tudo.
- Para fazer o download do arquivo de configuração do encaminhador, clique no ícone de download ao lado do tipo de arquivo
Referência das definições de configuração
As configurações de encaminhadores incluem um ou mais coletores.
É possível definir as seguintes configurações no nível do encaminhador:
Defina as configurações a seguir no nível do encaminhador e do coletor. Para entender o resultado da definição da configuração em ambos os níveis, consulte a seção da configuração.
- Namespaces dos recursos
- Marcadores
- Filtros de expressão regular
- Configurações do servidor HTTP para a coleta syslog
É possível definir as seguintes configurações no nível do coletor:
Fazer upload da compactação
Padrão:ativada
Você pode configurar a compactação de upload para um encaminhador, mas não para um coletor. Quando ativada, essa configuração compacta os registros antes do upload no Chronicle. Isso reduz o consumo de largura de banda da rede durante a transferência para o Chronicle. No entanto, a compactação pode aumentar o uso da CPU.
A compensação entre o uso da largura de banda e da CPU depende de muitos fatores, incluindo o tipo de dados de registro, a compressibilidade desses dados, a disponibilidade de ciclos de CPU no host que executa o encaminhador e a necessidade de reduzir o consumo da largura de banda da rede. Por exemplo, os registros baseados em texto são compactados bem e podem oferecer economias de largura de banda substanciais com baixo uso da CPU. No entanto, payloads criptografados de pacotes brutos não são bem compactados e geram maior uso de CPU.
Namespaces de recursos
Padrão:o campo fica vazio quando não é especificado.
É possível configurar um namespace de recursos para um encaminhador, um coletor ou ambos. É possível usar um namespace para identificar registros de segmentos de rede distintos e eliminar o conflito de endereços IP sobrepostos. Todos os namespaces configurados aparecem com os recursos associados na interface do usuário do Chronicle. Também é possível pesquisar namespaces usando o recurso Chronicle Search.
É possível especificar um namespace para um encaminhador e namespaces diferentes para um ou mais coletores do encaminhador. Se um namespace for especificado para um coletor, o namespace do coletor será usado, em vez do namespace do encaminhador para os registros desse coletor.
Para informações sobre o uso de namespaces, consulte Namespaces de recursos.
Rótulos
Padrão:os campos vão ficar vazios se não for especificado.
É possível configurar rótulos para um encaminhador, um coletor ou ambos. Eles são usados para anexar metadados arbitrários aos registros usando pares de chave-valor. Os rótulos podem ser configurados para um encaminhador inteiro ou dentro de um coletor específico de um encaminhador. Se ambos forem fornecidos, os rótulos serão mesclados com as chaves do coletor que têm precedência sobre as chaves do encaminhador se as chaves se sobrepuserem.
Filtros de expressão regular
Padrão:os campos vão ficar vazios se não for especificado.
É possível configurar filtros de expressão regular para um encaminhador, um coletor ou ambos. Os filtros de expressão regular permitem bloquear ou permitir linhas de entrada de um registro bruto que correspondam à expressão.
Os filtros usam a sintaxe RE2 (em inglês).
Os filtros precisam incluir uma expressão regular e, opcionalmente, definir um comportamento quando houver uma correspondência. O comportamento padrão em uma correspondência é bloquear (você também pode configurá-lo explicitamente como bloco).
Como alternativa, especifique filtros com o comportamento allow. Se você especificar algum filtro de permissão, o encaminhador vai bloquear todos os registros que não correspondam a pelo menos um filtro de permissão.
É possível definir um número arbitrário de filtros. Os filtros de bloco têm precedência sobre os filtros de permissão.
Quando os filtros são definidos, eles precisam receber um nome. Os nomes dos filtros ativos são informados ao Chronicle usando métricas de integridade do encaminhador. Os filtros definidos no nível do encaminhador são mesclados com os filtros definidos no nível do coletor. Os filtros no nível do coletor têm precedência em casos de nomes conflitantes. Se nenhum filtro for definido no nível do encaminhador ou do coletor, o comportamento será permitir todos.
Configurações do servidor HTTP para a coleção syslog
O Chronicle Forwarder pode ser implantado em um ambiente em que um balanceador de carga de camada 4 é instalado entre as instâncias da fonte de dados e do encaminhador. Isso permite que você distribua a coleta de registros em vários encaminhadores ou envie registros para um encaminhador diferente se um deles falhar. Esse recurso é compatível apenas com o tipo de coleção do syslog.
O encaminhador inclui um servidor HTTP integrado que responde a verificações de integridade HTTP do balanceador de carga. O servidor HTTP também ajuda a garantir que os registros não sejam perdidos durante a inicialização ou o encerramento de um encaminhador.
As definições do servidor nas configurações do encaminhador são compatíveis com a definição de durações de tempo limite e códigos de status retornados em resposta a verificações de integridade recebidas no programador de contêineres e nas implantações baseadas em orquestração e de balanceadores de carga tradicionais.
Use os seguintes caminhos de URL para verificações de integridade, prontidão e atividade. Os valores <host:port>
são definidos na configuração do encaminhador.
- http://
<host:port>
/meta/available: verificações de atividade para programadores/orquestradores de contêineres, como o Kubernetes. - http://
<host:port>
/meta/ready: Verificações de prontidão e verificações de integridade do balanceador de carga tradicional.
Configuração | Descrição |
---|---|
Tempo limite otimizado | o tempo que novas conexões ainda são aceitas depois que o encaminhador retorna um status de não leitura em resposta a uma verificação de integridade.
Esse também é o tempo de espera entre o recebimento de um sinal para parar e
o início do desligamento do próprio servidor. Isso permite que o balanceador de carga tenha tempo para remover o encaminhador do pool. Os valores válidos estão em segundos. Por exemplo, para especificar 10 segundos, digite 10. . Valores decimais não são permitidos.Padrão:15 segundos |
Tempo limite de drenagem | O tempo que o encaminhador espera até que as conexões ativas sejam
fechadas por conta própria antes de serem fechadas pelo
servidor. Por exemplo, para especificar cinco segundos, digite 5. .
Valores decimais não são permitidos.Padrão: 10 segundos |
Port | O número da porta em que o servidor HTTP detecta verificações de integridade
do balanceador de carga. O valor precisa estar entre 1.024 e 65.535. Padrão: 8080 |
Endereço IP/nome do host | O endereço IP ou um nome de host que possa ser resolvido em um endereço IP que o servidor deve detectar. Padrão:0.0.0.0 (o sistema local) |
Tempo limite de leitura | Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar
a configuração padrão. O tempo máximo permitido para ler
toda a solicitação, tanto o cabeçalho quanto o corpo. É possível definir os campos read timeout e read header
timeout. Padrão:três segundos |
Tempo limite de leitura do cabeçalho | Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar
a configuração padrão. A quantidade máxima de tempo permitida para ler cabeçalhos de solicitação. O prazo de leitura da conexão é redefinido após a leitura do cabeçalho. Padrão:três segundos |
Tempo limite de gravação | Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar
a configuração padrão. O tempo máximo permitido para enviar uma resposta. Ele é redefinido quando um novo cabeçalho de solicitação é lido. Padrão:três segundos |
Tempo limite de inatividade | Usado para ajustar o servidor HTTP. Normalmente, não é necessário alterar
a configuração padrão. O tempo máximo de espera pela
próxima solicitação quando conexões inativas estão ativadas. Caso o campo idle
timeout seja definido como zero, o valor do campo read
timeout será usado. Se ambos forem zero, o campo
tempo limite do cabeçalho de leitura será usado. Padrão:três segundos |
Código de status disponível | O código de status que o encaminhador retorna quando uma verificação de atividade é recebida e o encaminhador está disponível. Programadores e orquestradores de contêineres, como o Kubernetes, geralmente enviam verificações de atividade. Padrão: 204 |
Código de status pronto | O código de status que o encaminhador retorna quando está pronto para aceitar o tráfego em uma das seguintes situações:
|
Código de status não pronto | O código de status que o encaminhador retorna quando não está pronto para aceitar o tráfego. Padrão: 503 |
Tipo de registro
Para ver uma lista completa dos tipos de registro compatíveis, consulte Conjuntos de dados compatíveis.
Buffer de disco
Com o armazenamento em buffer de disco, é possível armazenar em buffer as mensagens de backlog para o disco, e não para a memória. As mensagens acumuladas podem ser armazenadas caso o encaminhador falhe ou o host subjacente falhe. A ativação do armazenamento em buffer do disco pode afetar o desempenho.
Se o armazenamento em buffer do disco estiver desativado, o coletor usará 1 GB de memória (RAM) para os registros coletados. Você pode especificar o máximo usando a configuração Máximo de bytes de buffer de arquivo na configuração do coletor. Isso determina o tamanho máximo de RAM usado pelo coletor antes que as mensagens de backlog sejam armazenadas em buffer no disco. O padrão é 1073741824. O máximo é 4294967296.
Se você estiver executando o encaminhador usando o Docker, o Google recomenda montar um volume separado do volume de configuração para fins de isolamento. Além disso, cada entrada precisa ser isolada com o próprio diretório ou volume para evitar conflitos.
Configurações do tipo de coletor
Cada configuração de coletor precisa especificar um tipo. Nesta seção, descrevemos os tipos de coletores e as configurações deles.
Arquivo
Use o tipo de coletor file
para fazer upload de registros de um único arquivo.
Campo | Campo obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Caminho do arquivo | Obrigatório | O caminho do diretório e o nome do arquivo. Por exemplo:/opt/chronicle/edr/output/sample.txt |
Kafka
Use o tipo de coletor kafka
para ingerir dados de tópicos do Kafka. Os grupos de consumidores
do Kafka são aproveitados para permitir a implantação de até três encaminhadores do Chronicle para
extrair dados do mesmo tópico do Kafka. Para mais informações, consulte
Kafka (em inglês).
Para mais informações sobre grupos de consumidores do Kafka, consulte
Consumidor do Kafka.
Campo | Obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Nome do usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta associada ao nome de usuário. |
Tópico | Obrigatório | O tópico do Kafka de onde os dados serão ingeridos. |
ID do grupo | Obrigatório | Um ID de grupo. |
Tempo limite | Obrigatório | O número máximo de segundos que uma discagem aguardará até que uma conexão seja concluída. Padrão: 60 |
Agentes | Opcional | Insira um corretor na caixa de texto. Por exemplo:broker-1:9092 Clique em Adicionar outro para adicionar outro agente. Observação:todos os valores são substituídos durante uma operação de atualização. Portanto, para atualizar uma lista de agentes para adicionar um novo agente, especifique todos os agentes atuais e o novo agente. |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome de arquivo da chave do certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Pular verificação insegura de TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão: desativado |
Pcap
Esta seção abrange os seguintes tópicos:
Como usar pcap no Windows
O encaminhador do Chronicle pode capturar pacotes diretamente de uma interface de rede usando Npcap nos sistemas Windows.
Entre em contato com o suporte do Chronicle para atualizar o arquivo de configuração de encaminhador para oferecer suporte à captura de pacotes.
Para executar um encaminhador de captura de pacotes (PCAP), você precisa do seguinte:
- Instale o Npcap no host do Microsoft Windows.
- No host do Windows, conceda privilégios de raiz ou de administrador do Chronicle para monitorar a interface de rede.
- Nenhuma opção de linha de comando é necessária.
- Na instalação do Npcap, ative o modo de compatibilidade do WinPcap.
Como usar o pcap no Linux
Use o tipo de coletor pcap
para capturar pacotes diretamente de uma interface de rede usando libcap no Linux. Para mais informações sobre libcap, consulte a
página manual do libcap — Linux.
Os pacotes são capturados e enviados para o Chronicle em vez de entradas de registro. A captura de pacote é processada apenas em uma interface local.
O Chronicle configura o encaminhador do Chronicle com a expressão Berkeley Packet Filter (BPF) usada ao capturar pacotes (por exemplo, na porta 53, e não no localhost). Para mais informações, consulte Filtros de pacotes de Berkeley (em inglês).
Configurações do coletor para pcap
As mesmas definições de configuração do coletor se aplicam a um host do Linux ou do Windows.
Campo | Obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface para detectar dados do PCAP. Observação:para um host do Windows, é o GUID da interface usada para capturar pacotes. Para conseguir esse valor, execute getmac.exe na máquina em que o Chronicle Forwarder está instalado (o servidor ou a máquina que detecta a porta span). A saída getmac.exe começa com \Device\Tcpip_ .
Substitua por \Device\NPF_ .Exemplo: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
Filtro de pacotes Berkeley | Obrigatório | O Filtro de Pacote Berkeley (BPF) para pcap. Exemplo: udp port 53 |
Splunk
Use o tipo de coletor splunk
para coletar dados do Splunk.
Campo | Obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Nome do usuário | Obrigatório | O nome de usuário de uma identidade usada para autenticação. |
Senha | Obrigatório | A senha da conta identificada pelo nome de usuário. |
Host | Obrigatório | O host ou o endereço IP da API REST do Splunk. Exemplo: https://10.0.113.15 |
Porta | Obrigatório | A porta da API REST do Splunk. |
Tamanho mínimo da janela | Obrigatório | O intervalo de tempo mínimo em segundos passado para a consulta do Splunk. Esse parâmetro é usado para ajuste se o requisito for alterar a frequência com que o servidor do Splunk é consultado quando o encaminhador está em estado constante. Além disso, quando há um atraso, a chamada da API Splunk pode ser
feita várias vezes. Padrão: 10 |
Tamanho máximo da janela | Obrigatório | O intervalo de tempo máximo em segundos passado para a consulta do Splunk. Esse
parâmetro é usado para ajustes nos casos em que há um atraso ou se mais
dados são necessários por consulta. Altere esse parâmetro (igual ou maior que) ao mudar o parâmetro mínimo. Casos de atraso podem ocorrer se uma chamada de consulta do Splunk estiver demorando mais do que o tamanho máximo da janela. Observação : os períodos nunca se sobrepõem quando o servidor do Splunk é consultado. O período consultado está sempre entre os parâmetros de janela mínimo e máximo. Padrão: 30 |
String de consulta | Obrigatório | Consulta usada para filtrar registros no Splunk. Exemplo: search index=* sourcetype=dns |
Modo de consulta | Obrigatório | O modo de consulta do Splunk. Exemplo: realtime |
Certificado ignorado | Opcional | Se ativado, o certificado é ignorado. Padrão: desativado |
Syslog
Use o tipo de coletor syslog
para coletar dados syslog. É possível configurar qualquer
dispositivo ou servidor compatível com o envio de dados syslog por uma conexão TCP ou UDP
para encaminhar os dados ao encaminhador do Chronicle. É possível controlar os dados
exatos que o dispositivo ou servidor envia ao Chronicle Forwarder. O Chronicle Forwarder
pode encaminhar os dados para ele.
Campo | Obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Protocolo | Obrigatório | O protocolo de conexão que o coletor vai usar para detectar dados syslog. Os valores válidos são:
|
Endereço | Obrigatório | O endereço IP de destino ou o nome do host em que o coletor reside e detecta dados syslog. |
Porta | Obrigatório | A porta de destino em que o coletor reside e detecta dados syslog. |
Tamanho do buffer | Obrigatório | O tamanho em bytes do buffer do soquete. O padrão para TCP é 65536. O padrão para UDP é 8192. |
Tempo limite de conexão | Obrigatório | Número de segundos de inatividade após o qual a conexão TCP é
desativada. Padrão: 60 |
Certificado TLS | Obrigatório | O caminho e o nome de arquivo do certificado. Por exemplo:/path/to/cert.pem |
Chave de certificado TLS | Obrigatório | O caminho e o nome de arquivo da chave do certificado. Por exemplo:/path/to/cert.key |
Versão mínima de TLS | Obrigatório | A versão mínima do TLS. Exemplo: TLSv1_3 |
Pular verificação insegura de TLS | Obrigatório | Ativa a verificação de certificação SSL. Padrão: desativado |
WebProxy
Além de especificar os valores de campo mostrados abaixo, instale a biblioteca Npcap para o Chronicle Forwarder no Windows. Isso não é necessário para o Chronicle Forwarder em sistemas Linux.
Campo | Obrigatório ou opcional para esse tipo | Descrição |
---|---|---|
Interface de rede | Obrigatório | A interface para detectar dados de proxy da Web. |
Filtro de pacotes Berkeley | Obrigatório | O Filtro de pacotes Berkeley (BPF) para o proxy da Web. Exemplo: udp port 53 |
Solução de problemas
Os dados syslog não são recebidos pelo encaminhador
Verifique se as configurações do syslog do coletor estão definidas para usar o protocolo de conexão correto (TCP ou UDP) para os dados recebidos. Para mais informações, consulte Editar um coletor.