Ausführbare Chronicle-Forwarder-Programmdatei für Windows
In diesem Dokument wird beschrieben, wie Sie den Chronicle-Forwarder unter Microsoft Windows installieren und konfigurieren.
Konfigurationsdateien anpassen
Auf Grundlage der Informationen, die Sie vor der Bereitstellung eingereicht haben, stellt Google Cloud eine ausführbare Datei und eine optionale Konfigurationsdatei für den Chronicle-Forwarder zur Verfügung. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine spezifische Konfiguration für die Chronicle-Forwarder-Instanz in Ihrem Netzwerk. Wenn Sie die Konfiguration ändern müssen, wenden Sie sich an den Chronicle-Support.
Systemanforderungen
Im Folgenden finden Sie allgemeine Empfehlungen. Wenden Sie sich an den Chronicle-Support, um Empfehlungen speziell für Ihr System zu erhalten.
Windows Server-Version: Der Chronicle-Forwarder wird in den folgenden Versionen von Microsoft Windows Server unterstützt:
2008 R2
2012 R2
2016
RAM: 1,5 GB für jeden erfassten Datentyp. Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR), DNS und DHCP sind beispielsweise separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.
CPU: 2 CPUs reichen für die Verarbeitung von weniger als 10.000 Ereignissen pro Sekunde (EPS) aus (insgesamt für alle Datentypen). Wenn Sie davon ausgehen,mehr als 10.000 EPS weiterzuleiten, sind 4 bis 6 CPUs erforderlich.
Laufwerk: 100 MB Speicherplatz sind ausreichend, unabhängig davon, wie viele Daten der Chronicle-Forwarder verarbeitet. Der Chronicle-Forwarder puffert nicht standardmäßig auf das Laufwerk. Sie können das Laufwerk zwischenspeichern, indem Sie der Konfigurationsdatei die Parameter
write_to_disk_buffer_enabled
undwrite_to_disk_dir_path
hinzufügen.Beispiel:
- <collector>: common: ... write_to_disk_buffer_enabled: true write_to_disk_dir_path: <var>your_path</var> ...
Google-IP-Adressbereiche
Möglicherweise muss der IP-Adressbereich geöffnet werden, wenn Sie eine Chronicle-Forwarder-Konfiguration einrichten, z. B. wenn Sie die Konfiguration für Ihre Firewall einrichten. Google kann keine spezifische Liste von IP-Adressen zur Verfügung stellen. Sie können jedoch IP-Adressbereiche von Google abrufen.
Firewallkonfiguration prüfen
Wenn sich zwischen dem Chronicle-Forwarder-Container und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, die den Zugriff auf die folgenden Google Cloud-Hosts ermöglichen:
Verbindungstyp | Ziel | Port |
TCP | malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-northeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-south1-malachiteingestion-pa.googleapis.com | 443 |
TCP | asia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | australia-southeast1-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west2-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west3-malachiteingestion-pa.googleapis.com | 443 |
TCP | europe-west6-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-central2-malachiteingestion-pa.googleapis.com | 443 |
TCP | me-west1-malachiteingestion-pa.googleapis.com | 443 |
TCP | northamerica-northeast2-malachiteingestion-pa.googleapis.com | 443 |
TCP | accounts.google.com | 443 |
TCP | gcr.io | 443 |
TCP | oauth2.googleapis.com | 443 |
TCP | storage.googleapis.com | 443 |
So prüfen Sie die Netzwerkverbindung zu Google Cloud:
Starten Sie Windows PowerShell mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie
PowerShell
ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und klicken Sie dann auf Als Administrator ausführen.Führen Sie den folgenden Befehl aus: Für
TcpTestSucceeded
sollte „true“ zurückgegeben werden.C:\> test-netconnection <host> -port <port>
Beispiel:
C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443 ComputerName : malchiteingestion-pa.googleapis.com RemoteAddress : 198.51.100.202 RemotePort : 443 InterfaceAlias : Ethernet SourceAddress : 10.168.0.2 TcpTestSucceeded : True
Sie können auch den Chronicle-Forwarder verwenden, um die Netzwerkverbindung zu prüfen:
Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie
Command Prompt
ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.Führen Sie den Chronicle-Forwarder mit der Option
-test
aus, um die Netzwerkverbindung zu prüfen.C:\> .\chronicle_forwarder.exe -test Verify network connection succeeded!
Chronicle-Forwarder unter Windows installieren
Unter Windows muss die ausführbare Chronicle-Forwarder als Dienst installiert werden.
Kopieren Sie die Datei
chronicle_forwarder.exe
und die Konfigurationsdatei in ein Arbeitsverzeichnis.Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie
Command Prompt
ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.Wechseln Sie zum Installieren des Dienstes zum Arbeitsverzeichnis, das Sie in Schritt 1 erstellt haben, und führen Sie den folgenden Befehl aus:
C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
Ersetzen Sie
FILE_NAME
durch den Namen der Konfigurationsdatei, die Sie erhalten haben.Der Dienst wird unter
C:\Windows\system32\ChronicleForwarder
installiert.Führen Sie den folgenden Befehl aus, um den Dienst zu starten:
C:\> sc.exe start chronicle_forwarder
Prüfen, ob der Chronicle-Forwarder ausgeführt wird
Der Chronicle-Forwarder sollte eine offene Netzwerkverbindung über Port 443 haben und Ihre Daten sollten innerhalb weniger Minuten in der Chronicle-Weboberfläche angezeigt werden.
Sie können mit einer der folgenden Methoden prüfen, ob der Chronicle-Forwarder ausgeführt wird:
Task-Manager: Gehen Sie zum Tab Prozesse > Hintergrundprozesse > chronicle_forwarder.
Ressourcenüberwachung: Auf dem Tab Netzwerk sollte die Anwendung
chronicle_forwarder.exe
unter Netzwerkaktivität (wenn die Anwendungchronicle_forwarder.exe
eine Verbindung zu Google Cloud herstellt), unter „TCP-Verbindungen“ und unter „Überwachungsport“ aufgeführt sein.
Forwarder-Logs ansehen
Chronicle-Forwarder-Logdateien werden im Ordner C:\Windows\Temp
gespeichert. Die Protokolldateien beginnen mit chronicle_forwarder.exe.win-forwarder
.
Die Logdateien enthalten eine Vielzahl von Informationen, beispielsweise wann der Forwarder gestartet und wann er mit dem Senden von Daten an Google Cloud begonnen hat.
Chronicle-Forwarder deinstallieren
Führen Sie die folgenden Schritte aus, um den Chronicle-Forwarder-Dienst zu deinstallieren:
Öffnen Sie die Eingabeaufforderung im Administratormodus.
Beenden Sie den Chronicle-Forwarder-Dienst:
SERVICE_NAME: chronicle_forwarder TYPE : 10 WIN32_OWN_PROCESS STATE : 4 RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Rufen Sie das Verzeichnis
C:\Windows\system32\ChronicleForwarder
auf und deinstallieren Sie den Chronicle-Forwarder-Dienst:C:\> .\chronicle_forwarder.exe -uninstall
Chronicle-Forwarder aktualisieren
Führen Sie die folgenden Schritte aus, um ein Upgrade des Chronicle-Forwarders durchzuführen und gleichzeitig Ihre aktuelle Konfigurationsdatei zu verwenden:
Öffnen Sie die Eingabeaufforderung im Administratormodus.
Kopieren Sie Ihre Konfigurationsdatei aus dem Verzeichnis
C:\Windows\system32\ChronicleForwarder
in ein anderes Verzeichnis.Beenden Sie den Chronicle-Forwarder:
C:\> sc.exe stop chronicle_forwarder
Deinstallieren Sie den Chronicle-Forwarder-Dienst und die zugehörige Anwendung:
C:\> .\chronicle_forwarder.exe --uninstall
Löschen Sie alle Dateien im Verzeichnis
C:\windows\system32\ChronicleForwarder
.Kopieren Sie die neue
chronicle_forwarder.exe
-Anwendung und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:
C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
Dienst starten:
C:\ sc.exe start chronicle_forwarder
Splunk-Daten erfassen
Wenden Sie sich an den Chronicle-Support, um Ihre Chronicle-Forwarder-Konfigurationsdatei zu aktualisieren, um Ihre Splunk-Daten an Google Cloud weiterzuleiten.
Syslog-Daten erfassen
Der Chronicle-Forwarder kann als Syslog-Server betrieben werden. Sie können also jede Appliance oder jeden Server konfigurieren, der das Senden von Syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, um deren Daten an den Chronicle-Forwarder weiterzuleiten. Sie können genau steuern, welche Daten die Appliance oder der Server an den Chronicle-Forwarder sendet, der die Daten dann an Google Cloud weiterleiten kann.
Die Chronicle-Forwarder-Konfigurationsdatei gibt an, welche Ports für jeden Typ weitergeleiteter Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Chronicle-Forwarder sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Chronicle-Support, um Ihre Chronicle-Forwarder-Konfigurationsdatei für Syslog zu aktualisieren.
Datenkomprimierung ein-/ausschalten
Durch die Logkomprimierung wird der Verbrauch der Netzwerkbandbreite beim Übertragen von Logs an Chronicle reduziert. Die Komprimierung kann jedoch zu einer Erhöhung der CPU-Auslastung führen. Der Kompromiss zwischen CPU-Auslastung und Bandbreite hängt von vielen Faktoren ab, einschließlich der Art der Logdaten, der Komprimierbarkeit dieser Daten, der Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Forwarder ausgeführt wird, und der Notwendigkeit, den Verbrauch der Netzwerkbandbreite zu reduzieren.
Textbasierte Logs werden beispielsweise gut komprimiert und können bei geringer CPU-Auslastung erhebliche Bandbreiteneinsparungen erzielen. Verschlüsselte Nutzlasten von Rohpaketen werden jedoch nicht gut komprimiert und verursachen eine höhere CPU-Auslastung.
Da die meisten vom Forwarder aufgenommenen Logtypen effizient komprimierbar sind, ist die Logkomprimierung standardmäßig aktiviert, um den Bandbreitenverbrauch zu reduzieren. Wenn die erhöhte CPU-Auslastung jedoch den Vorteil der Bandbreiteneinsparungen überwiegt, können Sie die Komprimierung deaktivieren. Dazu setzen Sie das Feld compression
in der Chronicle-Forwarder-Konfigurationsdatei auf false
, wie im folgenden Beispiel gezeigt:
compression: false
url: malachiteingestion-pa.googleapis.com:443
identity:
identity:
collector_id: 10479925-878c-11e7-9421-10604b7abba1
customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
secret_key: |
{
"type": "service_account",
...
TLS für Syslog-Konfigurationen aktivieren
Sie können Transport Layer Security (TLS) für die Syslog-Verbindung zum Chronicle-Forwarder aktivieren. Geben Sie in der Konfigurationsdatei für den Chronicle-Forwarder den Speicherort Ihres Zertifikats und Ihres Zertifikatsschlüssels an, wie im folgenden Beispiel gezeigt:
Zertifikat | C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem |
certificate_key | C:/opt/chronicle/external/certs/forwarder.key |
Auf Grundlage des gezeigten Beispiels würde die Chronicle-Forwarder-Konfiguration so geändert werden:
collectors: - syslog: common: enabled: true data_type: WINDOWS_DNS data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10515 connection_timeout_sec: 60 certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem" certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"
Sie können im Konfigurationsverzeichnis ein Verzeichnis „certs“ erstellen und die Zertifikatsdateien dort speichern.
Paketdaten erfassen
Der Chronicle-Forwarder kann Pakete mithilfe von Npcap auf Windows-Systemen direkt von einer Netzwerkschnittstelle erfassen.
Pakete werden anstelle von Logeinträgen erfasst und an Google Cloud gesendet. Die Erfassung erfolgt nur über eine lokale Schnittstelle.
Wenden Sie sich an den Chronicle-Support, um Ihre Chronicle-Forwarder-Konfigurationsdatei zu aktualisieren, um die Paketerfassung zu unterstützen.
Zum Ausführen eines Paketerfassungs-Forwarders (PCAP) benötigen Sie Folgendes:
Installieren Sie Npcap auf dem Microsoft Windows-Host.
Gewähren Sie dem Chronicle-Forwarder-Root oder Administratorberechtigungen zum Überwachen der Netzwerkschnittstelle.
Befehlszeilenoptionen sind nicht erforderlich.
Aktivieren Sie in der Npcap-Installation den WinPcap-Kompatibilitätsmodus.
Zum Konfigurieren eines PCAP-Forwarders benötigt Google Cloud die GUID für die Schnittstelle, die zum Erfassen von Paketen verwendet wird.
Führen Sie getmac.exe
auf der Maschine aus, auf der Sie den Chronicle-Forwarder installieren möchten (entweder den Server oder die Maschine, die den Span-Port überwacht) und senden Sie die Ausgabe an Chronicle.
Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben der Schnittstelle durch die GUID, die beim Ausführen von getmac.exe angezeigt wird.
Hier sehen Sie beispielsweise einen ursprünglichen PCAP-Abschnitt:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
bpf: udp port 53
So sieht die Ausgabe von getmac.exe
aus:
C:\>getmac.exe
Physical Address Transport Name
===========================================================================
A4-73-9F-ED-E1-82 \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}
Und schließlich finden Sie hier den überarbeiteten PCAP-Abschnitt mit der neuen GUID:
- pcap:
common:
enabled: true
data_type: PCAP_DNS
batch_n_seconds: 10
batch_n_bytes: 1048576
interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
bpf: udp port 53
WebProxy-Daten erfassen
Der Chronicle-Forwarder kann WebProxy-Daten mit Npcap direkt von einer Netzwerkschnittstelle erfassen und an Google Cloud senden.
Wenn Sie die WebProxy-Datenerfassung für Ihr System aktivieren möchten, wenden Sie sich an den Chronicle-Support.
Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Forwarder ausführen:
Installieren Sie Npcap auf dem Microsoft Windows-Host. WinPcap-Kompatibilitätsmodus während der Installation aktivieren
Gewähren Sie dem Chronicle-Forwarder Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.
Zum Konfigurieren eines WebProxy-Forwarders benötigt Google Cloud die GUID für die Schnittstelle, die zum Erfassen der WebProxy-Pakete verwendet wird.
Führen Sie
getmac.exe
auf dem Computer aus, auf dem Sie den Chronicle-Forwarder installieren möchten, und senden Sie die Ausgabe an Chronicle. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den Abschnitt „WebProxy“ und ersetzen Sie die GUID, die neben der Schnittstelle angezeigt wird, durch die GUID, die nach dem Ausführen vongetmac.exe
angezeigt wird.Ändern Sie die Konfigurationsdatei für die Chronicle-Forwarder-Konfiguration (
FORWARDER_NAME.conf
) so:- webproxy: common: enabled : true data_type: <Your LogType> batch_n_seconds: 10 batch_n_bytes: 1048576 interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734} bpf: tcp and dst port 80