通过 Chronicle 界面管理转发器配置

本页面介绍如何使用 Chronicle 界面创建、管理和下载转发器配置。您还可以使用 Forwarder Management API 以编程方式执行这些任务。

命名规则

本文档使用以下命名惯例:

  • Chronicle Forwarder:部署的软件组件。
  • forwarder:转发器配置存储在 Chronicle 实例中时的简称。
  • collector:收集器配置存储在 Chronicle 实例中时的简称。

添加转发器

添加转发器是配置 Chronicle Forwarder 的第一步。添加转发器后,您可以执行以下操作:

  • 为转发器配置命名。
  • 指定转发器配置值。

添加新的转发器会创建部分完整的转发器配置。如需完成转发器配置,您需要添加收集器。添加至少一个收集器后,您可以下载转发器配置并将其部署到安装了 Chronicle Forwarder 的机器或设备上。

您可以克隆一个或多个现有转发器,而不是添加新的转发器。如需了解详情,请参阅克隆转发器

如需添加新的转发器,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器
  3. 点击添加新转发器
  4. 转发器名称字段中,输入一个名称。

  5. 可选:展开配置值部分,然后指定以下任一项:

    • 上传压缩:选择以在日志数据上传到 Chronicle 之前对其进行压缩。默认值为。如需详细了解数据压缩,请参阅上传压缩
    • 资源命名空间:输入用于标识此转发器所收集的日志的命名空间。除非您在收集器级别为收集器指定命名空间,否则此命名空间将应用于添加到此转发器的所有收集器。如果同时在转发器级别和收集器级别指定命名空间,则对于来自该收集器的日志,系统将使用收集器的命名空间(而非转发器的命名空间)。如需详细了解素材资源命名空间,请参阅素材资源命名空间
    • Label keyLabel value:输入键和值。如果需要,您还可以点击添加新标签,以添加一个或多个其他标签键值对。除非在收集器级别被替换,否则这项全局设置适用于转发器和转发器的收集器。如需了解详情,请参阅标签
    • 过滤器说明正则表达式过滤器行为:添加过滤器,根据正则表达式(RE2 语法)匹配原始日志的每个传入行来过滤日志。过滤器行为决定了在匹配时对传入行进行 allow 还是 block 处理。 默认情况下(包括当过滤器行为为 unspecified 时),对匹配项的行为是 block 传入的行,然后继续评估下一行是否匹配。如需了解详情,请参阅正则表达式过滤条件

  6. (仅限 Syslog 收集)可选:切换服务器设置以配置转发器的内置 HTTP 服务器,该服务器可用于为 Linux 上的 syslog 收集配置负载均衡和高可用性选项。如需详细了解这些设置,请参阅 syslog 收集的 HTTP 服务器设置

  7. 点击提交

    系统会添加转发器,并显示添加收集器配置窗口。

  8. 收集器名称字段中,输入一个名称。

  9. 点击日志类型字段以查看日志类型列表,并执行以下某项操作:

    • 如果您没有看到所需的日志类型,请在框中输入其名称,以查看更多建议。如需查看受支持日志类型的完整列表,请参阅支持的数据集
    • 从列表中选择日志类型。

  10. 可选:展开配置值部分,然后指定以下任一项:

    • 资源命名空间:输入命名空间,用于标识此收集器收集的日志。如果为收集器指定了命名空间,则针对来自该收集器的日志,系统将使用该收集器的命名空间(而非转发器的命名空间)。如需详细了解资源命名空间,请参阅资源命名空间
    • 标签键标签值:输入键和值。如果需要,您还可以点击再添加一项以添加一个或多个其他标签键值对。对于此收集器的日志,此设置会替换在转发器级别指定的标签。如需了解详情,请参阅标签
    • 过滤器说明正则表达式过滤器行为:添加过滤器,根据正则表达式(RE2 语法)匹配原始日志的每个传入行。过滤器行为决定在匹配时是对传入行执行 allow 还是 block 操作。 默认情况下(包括当过滤器行为为 unspecified 时),对匹配项的行为是 block 传入的行,然后继续评估下一行是否匹配。如需了解详情,请参阅正则表达式过滤条件

  11. 可选:展开高级设置部分,然后指定以下任一项:

    • 每批次的最大秒数:各批次之间的秒数。默认值为 10
    • 每批次的最大字节数:在转发器批量上传之前排入队列的字节数。默认值为 1048576

  12. 可选:磁盘缓冲区:将切换开关设置为开启,为收集器启用磁盘缓冲。如需详细了解磁盘缓冲,请参阅磁盘缓冲。启用此选项后,您可以指定以下设置:

    • Directory path:已写入文件的目录路径。
    • 文件缓冲区字节数上限:在积压的消息被缓冲到磁盘之前,收集器使用的最大磁盘大小。默认值为 1073741824。上限为 4294967296

  13. 点击收集器类型字段,然后选择收集器类型。每种收集器类型都有自己的设置,您可以进行配置。如需详细了解收集器类型及其设置,请参阅收集器类型设置

  14. 点击提交

添加收集器

您可以将一个或多个收集器添加到现有转发器。

添加收集器后,您可以执行以下操作:

  • 为收集器命名。
  • 指定要收集的日志类型,例如 Pan Firewall、Cisco ASA 防火墙等。
  • 指定收集器类型:File、Kafka、PCAP、Splunk、Syslog 或 WebProxy。
  • 指定收集器配置值。

向转发器添加至少一个收集器后,您可以下载转发器配置并将其部署在安装了 Chronicle Forwarder 的机器或设备上。

如需向转发器添加新收集器,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器
  3. 转发器页面上,找到所需的转发器。如果转发器列表很长,请使用搜索字段。
  4. 将指针悬停在要为其添加收集器的转发器上。系统随即会显示 展开菜单图标
  5. 点击 展开菜单图标
  6. 选择添加新收集器
  7. 收集器名称字段中,输入一个名称。

  8. 点击日志类型字段以查看日志类型列表,并执行以下某项操作:

    • 如果您没有看到所需的日志类型,请在框中输入其名称,以查看更多建议。如需查看受支持日志类型的完整列表,请参阅支持的数据集
    • 从列表中选择日志类型。

  9. 可选:展开配置值部分,然后指定以下任一项:

    • 资源命名空间:输入命名空间,用于标识此收集器收集的日志。如果为收集器指定了命名空间,则针对来自该收集器的日志,系统将使用该收集器的命名空间(而非转发器的命名空间)。如需详细了解资源命名空间,请参阅资源命名空间
    • 标签键标签值:输入键和值。如果需要,您还可以点击再添加一项以添加一个或多个其他标签键值对。对于此收集器的日志,此设置会替换在转发器级别指定的标签。如需了解详情,请参阅标签
    • 过滤器说明正则表达式过滤器行为:添加过滤器,根据正则表达式(RE2 语法)匹配原始日志的每个传入行。过滤器行为决定在匹配时是对传入行执行 allow 还是 block 操作。 默认情况下(包括当过滤器行为为 unspecified 时),对匹配项的行为是 block 传入的行,然后继续评估下一行是否匹配。如需了解详情,请参阅正则表达式过滤条件

  10. 可选:展开高级设置部分,然后指定以下任一项:

    • 每批次的最大秒数:各批次之间的秒数。默认值为 10
    • 每批次的最大字节数:在转发器批量上传之前排入队列的字节数。默认值为 1048576

  11. 可选:磁盘缓冲区:将切换开关设置为开启,为收集器启用磁盘缓冲。如需详细了解磁盘缓冲,请参阅磁盘缓冲。启用此选项后,您可以指定以下设置:

    • Directory path:已写入文件的目录路径。
    • 文件缓冲区字节数上限:在积压的消息被缓冲到磁盘之前,收集器使用的最大磁盘大小。默认值为 1073741824。上限为 4294967296

  12. 点击收集器类型字段,然后选择收集器类型。每种收集器类型都有自己的设置,您可以进行配置。如需详细了解收集器类型及其设置,请参阅收集器类型设置

  13. 点击提交

管理转发器

列出 Chronicle 实例中的转发器

如需列出 Chronicle 实例中的转发器,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器。该页面会显示转发器列表。
  3. 可选:点击名称上次更新时间列对列表进行排序。

(可选)使用搜索字段缩小列表中的结果范围。

克隆转发器

通过克隆,您可以创建一个或多个转发器配置的副本。

如需克隆转发器,请按以下步骤操作:

  1. 在“转发器”页面上,选中您要克隆的每个转发器对应的复选框。

  2. 点击 展开菜单图标

  3. 选择克隆所选内容

  4. 点击 Clone。系统会添加每个转发器的副本。

修改转发器配置

如需修改转发器配置,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器。该页面会显示转发器列表。

  3. 将指针悬停在要修改配置的转发器上。系统随即会显示 展开菜单图标

  4. 点击 展开菜单图标

  5. 选择修改转发器配置

  6. 更改配置。如需了解详情,请参阅添加转发器过程中的配置步骤。

  7. 点击提交

删除转发器

如需删除转发器,请按以下步骤操作:

  1. 在“转发器”页面上,选中要删除的每个转发器对应的复选框。

  2. 点击 展开菜单图标

  3. 选择删除所选项

  4. 点击删除所选项

管理收集器

列出 Chronicle 实例中的收集器

如需列出 Chronicle 实例中的收集器,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器。该页面会显示转发器列表。
  3. 点击名称列标题旁边的展开箭头。这会展开所有转发器,最多为每个转发器显示五个收集器。
  4. 如果转发器有五个以上收集器,请点击查看所有收集器链接。

修改收集器配置

如需修改收集器配置,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器。该页面会显示转发器列表。

  3. 点击要修改收集器的转发器的 展开箭头

  4. 如果收集器超过五个,请点击查看所有收集器链接。

  5. 将指针悬停在要修改配置的收集器上。系统随即会显示修改链接。

  6. 点击修改

  7. 更改配置。如需了解详情,请参阅添加收集器过程中的配置步骤。

  8. 点击提交

删除收集器

要删除收集器,请按以下步骤操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器。该页面会显示转发器列表。

  3. 点击要删除收集器的转发器的 展开箭头

  4. 如果收集器超过五个,请点击查看所有收集器链接。

  5. 将指针悬停在要修改配置的收集器上。系统随即会显示删除链接。

  6. 点击删除链接。

  7. 点击删除按钮进行确认。

下载配置文件

下载转发器至少需要一个收集器。如果您尝试下载没有收集器的转发器,则会收到错误消息。

您可以为 Chronicle 实例中列出的任何转发器下载转发器配置 (.conf) 文件和/或身份验证 (_auth.conf) 文件,只要它至少有一个收集器即可。下载文件后,您需要将其部署到 Chronicle Forwarder 所在的 Windows 或 Linux 系统。

如需下载转发器配置文件,请执行以下操作:

  1. 在导航栏中,点击设置
  2. 在“设置”下,点击转发器。该页面会显示转发器列表。

  3. 转发器页面上,找到所需的转发器。如果转发器列表很长,请使用搜索字段。

  4. 将指针悬停在要下载配置文件的转发器上。系统随即会显示 展开菜单图标

  5. 点击 展开菜单图标

  6. 选择下载

  7. 下载转发器配置对话框中,执行以下操作之一:

    • 如需下载转发器配置文件,请点击 .conf 文件类型旁边的下载图标
    • 如需下载转发器身份验证文件,请点击 _auth.conf 文件类型旁边的下载图标
    • 要下载这两个文件,请点击全部下载

配置设置参考

转发器配置包含一个或多个收集器。

您可以在转发器级别配置以下设置:

您可以在转发器级别和收集器级别配置以下设置。如需了解在两个层级配置设置的结果,请参阅相关设置部分。

您可以在收集器级别配置以下设置:

上传压缩

默认:启用

您可以为转发器配置上传压缩,但无法为收集器配置。 启用后,此设置会在日志上传到 Chonicle 之前对其进行压缩。这样可以减少传输到 Chonicle 期间的网络带宽消耗。不过,压缩会增加 CPU 使用率。

带宽和 CPU 使用率之间的权衡取决于多种因素,包括日志数据类型、数据的可压缩性、运行转发器的主机上 CPU 周期的可用性,以及减少网络带宽消耗的需求。例如,基于文本的日志可以很好地压缩,并能在低 CPU 使用率下节省大量带宽。不过,原始数据包的加密载荷不能很好地压缩,会导致更高的 CPU 使用率。

资源命名空间

默认:如果未指定,则此字段为空。

您可以为转发器和/或收集器配置资产命名空间。您可以使用命名空间来识别来自不同网段的日志,并消除重叠的 IP 地址的冲突。您配置的任何命名空间都会与关联的资源一起显示在 Chronicle 界面中。您还可以使用 Chronicle 搜索功能搜索命名空间。

您可以为转发器指定命名空间,并为转发器的一个或多个收集器指定不同的命名空间。如果为收集器指定了命名空间,则针对来自该收集器的日志,系统将使用该收集器的命名空间(而非转发器的命名空间)。

如需了解如何使用命名空间,请参阅资源命名空间

标签

默认:如果未指定,则这些字段为空。

您可以为转发器和/或收集器配置标签。标签用于通过键值对将任意元数据附加到日志。您可以为整个转发器或转发器的特定收集器配置标签。如果同时提供了这两个标签,则当键重叠时,标签会与收集器的键合并,其优先级高于转发器的键。

正则表达式过滤条件

默认:如果未指定,则这些字段为空。

您可以为转发器和/或收集器配置正则表达式过滤条件。通过正则表达式过滤条件,您可以屏蔽或允许与表达式匹配的原始日志的传入行。

过滤条件使用 RE2 语法

过滤条件必须包含正则表达式,并视需要定义匹配时的行为。匹配操作的默认行为是 block(您也可以将它明确配置为 block)。

或者,您可以指定具有 allow 行为的过滤条件。如果您指定了任何允许过滤器,则转发器会屏蔽与至少一个允许过滤器不匹配的任何日志。

您可以定义任意数量的过滤条件。块过滤器优先于允许过滤器。

定义过滤器时,必须为其指定名称。系统会使用转发器运行状况指标将活跃过滤器的名称报告给 Chronicle。在转发器级别定义的过滤器与在收集器级别定义的过滤器合并。如果名称存在冲突,则以收集器级过滤条件为准。如果未在转发器或收集器级别定义任何过滤器,则行为是允许所有过滤器。

Syslog 收集的 HTTP 服务器设置

Chronicle Forwarder 可以部署在数据源和转发器实例之间安装了第 4 层负载均衡器的环境中。这样,您就可以在多个转发器之间分发日志集合,或者在转发器出现故障时将日志发送到其他转发器。只有 syslog 集合类型支持此功能。

转发器包含内置 HTTP 服务器,可响应负载均衡器的 HTTP 健康检查。HTTP 服务器还有助于确保转发器在启动或关闭期间不会丢失日志。

转发器配置中的服务器设置支持设置超时时长和状态代码,以响应在容器调度器和基于编排的部署以及传统负载平衡器中收到的健康检查。

使用以下网址路径进行运行状况、就绪性和活跃性检查。<host:port> 值在转发器配置中定义。

  • http://<host:port>/meta/available: 针对容器调度器/编排器(如 Kubernetes)的活跃性检查。
  • http://<host:port>/meta/ready:就绪性检查和传统负载平衡器健康检查。
设置 说明
安全超时 在转发器返回就绪状态以响应健康检查后,系统仍接受新连接的时长。这也是接收停止信号到实际开始关闭服务器本身之间的等待时间。这样,负载均衡器就有时间从池中移除转发器。

有效值以秒为单位。例如,如需指定 10 秒,请输入 10. 小数值。

默认值:15 秒
排空超时 转发器在被服务器关闭之前,等待活跃连接自行成功关闭的时间。例如,如需指定 5 秒,则不允许使用 5. 小数值。

默认值:10 秒
Port(端口) HTTP 服务器监听的端口号,用于监听来自负载均衡器的健康检查。该值必须介于 1024-65535 之间。

默认值 :8080
IP 地址/主机名 服务器应监听的 IP 地址或可以解析为 IP 地址的主机名。

默认值:0.0.0.0(本地系统)
读取超时 用于微调 HTTP 服务器。通常,无需更改默认设置。读取整个请求(包括标头和正文)的最长时间。您可以同时设置读取超时字段和读取标头超时字段。

默认值:3 秒
读取标头超时 用于微调 HTTP 服务器。通常,无需更改默认设置。读取请求标头所允许的最长时间。读取标头后,连接的读取截止时间会重置。

默认值:3 秒
写入超时 用于微调 HTTP 服务器。通常,无需更改默认设置。允许发送响应的最长时间。读取新请求标头时,此值会重置。

默认值:3 秒
空闲超时 用于微调 HTTP 服务器。通常,无需更改默认设置。启用空闲连接后,等待下一个请求的最长时间。如果空闲超时字段设置为零,则使用读取超时字段的值。如果两者都为零,则使用读取标头超时 字段。

默认值:3 秒
可用状态代码 收到活跃性检查且转发器可用时转发器返回的状态代码。容器调度器和编排器(如 Kubernetes)通常会发送活跃性检查。

默认值:204
就绪状态代码 在以下任一情况下,转发器准备好接受流量时返回的状态代码:
  • 从容器调度器或编排器(如 Kubernetes)接收就绪性检查。
  • 从传统负载均衡器接收健康检查。
默认值:204
“未就绪”状态代码 转发器在未准备好接受流量时返回的状态代码。

默认值:503

日志类型

如需查看受支持日志类型的完整列表,请参阅支持的数据集

磁盘缓冲

磁盘缓冲允许您将积压的消息缓冲到磁盘,而不是内存。可存储积压的消息,以防转发器崩溃或底层主机崩溃。请注意,启用磁盘缓冲可能会影响性能。

如果停用磁盘缓冲,收集器将使用 1 GB 内存 (RAM) 来存储其收集的日志。您可以使用收集器配置中的“最大文件缓冲区字节数”设置指定最大值。这决定了收集器在积压的消息缓冲到磁盘之前使用的最大 RAM 大小。默认值为 1073741824。最大值为 4294967296。

如果您使用 Docker 运行转发器,Google 建议您将一个卷与配置卷分开,以便进行隔离。此外,每个输入都应与其自己的目录或卷隔离,以避免冲突。

收集器类型设置

每个收集器配置都必须指定收集器类型。本部分介绍收集器类型及其设置。

文件

使用 file 收集器类型可从单个日志文件上传日志。

字段 此类型的必填字段或选填字段 说明
文件路径 需要 目录路径和文件名。例如:


/opt/chronicle/edr/output/sample.txt

Kafka

使用 kafka 收集器类型从 Kafka 主题中注入数据。借助 Kafka 使用方群组,您可以部署最多三个 Chronicle Forwarder,以从同一 Kafka 主题拉取数据。如需了解详情,请参阅 Kafka。如需详细了解 Kafka 使用方群组,请参阅 Kafka 使用方

字段 对于此类型而言是必需的或可选 说明
用户名 需要 用于身份验证的身份的用户名。
密码 需要 与用户名相关联的帐号密码。
主题 需要 要从中注入数据的 Kafka 主题。
群组 ID 需要 群组 ID。
超时 需要 拨号后等待连接完成的秒数上限。

默认值 :60
经纪机构 可选 在文本框中输入代理人。例如:


broker-1:9092


点击再添加一项以添加其他代理。

注意:在更新操作期间,所有值都将被替换。因此,如需更新代理列表以添加新的代理,请指定所有现有代理和新的代理。
TLS 证书 需要 路径和证书文件名。例如:


/path/to/cert.pem

TLS 证书密钥 需要 路径和证书密钥文件名。例如:


/path/to/cert.key

最低的 TLS 版本 需要 最低的 TLS 版本。

示例:TLSv1_3
TLS 不安全跳过验证 需要 启用 SSL 认证验证。

默认:停用

每千次展示费用

本部分包含以下主题:

在 Windows 上使用 pcap

Chronicle 转发器可以在 Windows 系统上使用 Npcap 直接从网络接口捕获数据包。

请与 Chronicle 支持团队联系,以更新您的 Chronicle 转发器配置文件以支持数据包捕获。

如需运行数据包捕获 (PCAP) 转发器,您需要以下各项:

  • 在 Microsoft Windows 主机上安装 Npcap。
  • 在 Windows 主机上,授予 Chronicle 转发器根权限或管理员权限以监控网络接口。
  • 无需命令行选项。
  • 在安装 Npcap 时,启用 WinPcap 兼容模式。
在 Linux 上使用 pcap

借助 pcap 收集器类型,您可以在 Linux 上使用 libcap 直接从网络接口捕获数据包。如需详细了解 libcap,请参阅 libcap - Linux 手册页面

捕获数据包并将其发送给 Chronicle(而不是日志条目)。数据包捕获仅从本地接口处理。

Chronicle 使用捕获数据包时使用的伯克利数据包过滤器 (BPF) 表达式(例如,端口 53,而不是 localhost)来配置 Chronicle 转发器。如需了解详情,请参阅 Berkeley 数据包过滤器

pcap 的收集器设置

相同的收集器配置设置适用于 Linux 或 Windows 主机。

字段 对于此类型而言是必需的或可选 说明
网络接口 需要 用于监听 PCAP 数据的接口。

注意:对于 Windows 主机,这是用于捕获数据包的接口的 GUID。如需获取此值,请在安装了 Chronicle Forwarder 的机器(服务器或监听 span 端口的机器)上运行 getmac.exe。getmac.exe 输出以 \Device\Tcpip_ 开头。将其替换为 \Device\NPF_

示例


\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

伯克利数据包过滤器 需要 pcap 的伯克利数据包过滤器 (BPF)。

示例udp port 53

Splunk

使用 splunk 收集器类型来收集 Splunk 数据。

字段 对于此类型而言是必需的或可选 说明
用户名 需要 用于身份验证的身份的用户名。
密码 需要 由用户名标识的帐号的密码。
主机 需要 Splunk REST API 的主机或 IP 地址。

示例https://10.0.113.15
端口 需要 Splunk REST API 的端口。
窗口大小下限 需要 传递给 Splunk 查询的最短时间范围(以秒为单位)。如需更改转发器处于稳定状态时查询 Splunk 服务器的频率,可使用此参数进行调优。此外,存在延迟时,可能会多次调用 Splunk API。

默认值:10
窗口大小上限 需要 传递给 Splunk 查询的最大时间范围(以秒为单位)。如果存在延迟或每个查询需要更多数据,则可以使用此参数进行调优。

当您更改最小参数时,请更改此参数(等于或大于)。如果 Splunk 查询调用花费的时间超过最大窗口大小,则可能会出现延迟情况。

注意 :在查询 Splunk 服务器时,时间范围绝不会重叠。查询的时间范围始终介于窗口参数和最小值之间。

默认值:30
查询字符串 需要 用于过滤 Splunk 中记录的查询。

示例search index=* sourcetype=dns
查询模式 需要 Splunk 的查询模式。

示例realtime
已忽略证书 可选 启用后,系统将忽略该证书。

默认:停用

Syslog

使用 syslog 收集器类型收集 Syslog 数据。您可以配置任何支持通过 TCP 或 UDP 连接发送 Syslog 数据的设备或服务器,以将其数据转发到 Chronicle Forwarder。您可以控制设备或服务器向 Chronicle Forwarder 发送的确切数据。然后,Chronicle Forwarder 可以将数据转发到 Chronicle。

字段 对于此类型而言是必需的或可选 说明
协议 需要 收集器将用于监听 syslog 数据的连接协议。有效值包括:

  • TCP
  • UDP
地址 需要 收集器所在的目标 IP 地址或主机名,并监听 syslog 数据。
端口 需要 收集器所在的目标端口,用于监听 syslog 数据。
缓冲区空间 需要 套接字缓冲区的大小(以字节为单位)。

TCP 的默认值为 65536。
UDP 的默认值为 8192。
连接超时 需要 处于非活跃状态的秒数,超过此时间过后 TCP 连接会被丢弃。

默认值:60
TLS 证书 需要 路径和证书文件名。例如:


/path/to/cert.pem

TLS 证书密钥 需要 路径和证书密钥文件名。例如:


/path/to/cert.key

最低的 TLS 版本 需要 最低的 TLS 版本。

示例TLSv1_3
TLS 不安全跳过验证 需要 启用 SSL 认证验证。

默认:停用

WebProxy

对于 Windows 上的 Chronicle Forwarder,除了指定如下所示的字段值外,还需要在 Windows 计算机或设备上安装 Npcap 库。Linux 系统上的 Chronicle Forwarder 不需要执行此操作。

字段 对于此类型而言是必需的或可选 说明
网络接口 需要 用于监听 Web 代理数据的接口。
伯克利数据包过滤器 需要 Web 代理的伯克利数据包过滤器 (BPF)。

示例udp port 53

问题排查

转发器未收到 Syslog 数据

确保收集器的 syslog 设置配置为对传入数据使用正确的连接协议(TCP 或 UDP)。如需了解详情,请参阅修改收集器