Ausführbare Chronicle-Forwarder-Programmdatei für Windows

In diesem Dokument wird beschrieben, wie Sie den Chronicle-Forwarder unter Microsoft Windows installieren und konfigurieren.

Konfigurationsdateien anpassen

Auf Grundlage der Informationen, die Sie vor der Bereitstellung eingereicht haben, stellt Google Cloud eine ausführbare Datei und eine optionale Konfigurationsdatei für den Chronicle-Forwarder zur Verfügung. Die ausführbare Datei sollte nur auf dem Host ausgeführt werden, für den sie konfiguriert wurde. Jede ausführbare Datei enthält eine spezifische Konfiguration für die Chronicle-Forwarder-Instanz in Ihrem Netzwerk. Wenn Sie die Konfiguration ändern müssen, wenden Sie sich an den Chronicle-Support.

Systemanforderungen

Im Folgenden finden Sie allgemeine Empfehlungen. Wenden Sie sich an den Chronicle-Support, um Empfehlungen speziell für Ihr System zu erhalten.

• Windows Server-Version: Der Chronicle-Forwarder wird in den folgenden Versionen von Microsoft Windows Server unterstützt:

  • 2008 R2

  • 2012 R2

  • 2016

• RAM: 1,5 GB für jeden erfassten Datentyp. Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR), DNS und DHCP sind beispielsweise separate Datentypen. Sie benötigen 4,5 GB RAM, um Daten für alle drei zu erfassen.

• CPU: 2 CPUs reichen für die Verarbeitung von weniger als 10.000 Ereignissen pro Sekunde (EPS) aus (insgesamt für alle Datentypen). Wenn Sie davon ausgehen,mehr als 10.000 EPS weiterzuleiten, sind 4 bis 6 CPUs erforderlich.

• Laufwerk: 100 MB Speicherplatz sind ausreichend, unabhängig davon, wie viele Daten der Chronicle-Forwarder verarbeitet. Der Chronicle-Forwarder puffert nicht standardmäßig auf das Laufwerk. Sie können das Laufwerk zwischenspeichern, indem Sie der Konfigurationsdatei die Parameter write_to_disk_buffer_enabled und write_to_disk_dir_path hinzufügen.

  Beispiel:

  - <collector>:
       common:
           ...
           write_to_disk_buffer_enabled: true
           write_to_disk_dir_path: <var>your_path</var>
           ...
  

Google-IP-Adressbereiche

Möglicherweise muss der IP-Adressbereich geöffnet werden, wenn Sie eine Chronicle-Forwarder-Konfiguration einrichten, z. B. wenn Sie die Konfiguration für Ihre Firewall einrichten. Google kann keine spezifische Liste von IP-Adressen zur Verfügung stellen. Sie können jedoch IP-Adressbereiche von Google abrufen.

Firewallkonfiguration prüfen

Wenn sich zwischen dem Chronicle-Forwarder-Container und dem Internet Firewalls oder authentifizierte Proxys befinden, sind Regeln erforderlich, die den Zugriff auf die folgenden Google Cloud-Hosts ermöglichen:

Verbindungstyp	Ziel	Port
TCP	malachiteingestion-pa.googleapis.com	443
TCP	asia-northeast1-malachiteingestion-pa.googleapis.com	443
TCP	asia-south1-malachiteingestion-pa.googleapis.com	443
TCP	asia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	australia-southeast1-malachiteingestion-pa.googleapis.com	443
TCP	europe-malachiteingestion-pa.googleapis.com	443
TCP	europe-west2-malachiteingestion-pa.googleapis.com	443
TCP	europe-west3-malachiteingestion-pa.googleapis.com	443
TCP	europe-west6-malachiteingestion-pa.googleapis.com	443
TCP	me-central2-malachiteingestion-pa.googleapis.com	443
TCP	me-west1-malachiteingestion-pa.googleapis.com	443
TCP	northamerica-northeast2-malachiteingestion-pa.googleapis.com	443
TCP	accounts.google.com	443
TCP	gcr.io	443
TCP	oauth2.googleapis.com	443
TCP	storage.googleapis.com	443

So prüfen Sie die Netzwerkverbindung zu Google Cloud:

1. Starten Sie Windows PowerShell mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie PowerShell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und klicken Sie dann auf Als Administrator ausführen.

2. Führen Sie den folgenden Befehl aus: Für TcpTestSucceeded sollte „true“ zurückgegeben werden.

   C:\> test-netconnection <host> -port <port>

   Beispiel:

   C:\> test-netconnection malachiteingestion-pa.googleapis.com -port 443
   ComputerName     : malchiteingestion-pa.googleapis.com
   RemoteAddress    : 198.51.100.202
   RemotePort       : 443
   InterfaceAlias   : Ethernet
   SourceAddress    : 10.168.0.2
   TcpTestSucceeded : True
   

Sie können auch den Chronicle-Forwarder verwenden, um die Netzwerkverbindung zu prüfen:

1. Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

2. Führen Sie den Chronicle-Forwarder mit der Option -test aus, um die Netzwerkverbindung zu prüfen.

   C:\> .\chronicle_forwarder.exe -test
   Verify network connection succeeded!
   

Chronicle-Forwarder unter Windows installieren

Unter Windows muss die ausführbare Chronicle-Forwarder als Dienst installiert werden.

1. Kopieren Sie die Datei chronicle_forwarder.exe und die Konfigurationsdatei in ein Arbeitsverzeichnis.

2. Starten Sie die Eingabeaufforderung mit Administratorberechtigungen. Klicken Sie dazu auf Start, geben Sie Command Prompt ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen.

3. Wechseln Sie zum Installieren des Dienstes zum Arbeitsverzeichnis, das Sie in Schritt 1 erstellt haben, und führen Sie den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config FILE_NAME
   

   Ersetzen Sie FILE_NAME durch den Namen der Konfigurationsdatei, die Sie erhalten haben.

   Der Dienst wird unter C:\Windows\system32\ChronicleForwarder installiert.

4. Führen Sie den folgenden Befehl aus, um den Dienst zu starten:

   C:\> sc.exe start chronicle_forwarder
   

Prüfen, ob der Chronicle-Forwarder ausgeführt wird

Der Chronicle-Forwarder sollte eine offene Netzwerkverbindung über Port 443 haben und Ihre Daten sollten innerhalb weniger Minuten in der Chronicle-Weboberfläche angezeigt werden.

Sie können mit einer der folgenden Methoden prüfen, ob der Chronicle-Forwarder ausgeführt wird:

• Task-Manager: Gehen Sie zum Tab Prozesse > Hintergrundprozesse > chronicle_forwarder.

• Ressourcenüberwachung: Auf dem Tab Netzwerk sollte die Anwendung chronicle_forwarder.exe unter Netzwerkaktivität (wenn die Anwendung chronicle_forwarder.exe eine Verbindung zu Google Cloud herstellt), unter „TCP-Verbindungen“ und unter „Überwachungsport“ aufgeführt sein.

Forwarder-Logs ansehen

Chronicle-Forwarder-Logdateien werden im Ordner C:\Windows\Temp gespeichert. Die Protokolldateien beginnen mit chronicle_forwarder.exe.win-forwarder. Die Logdateien enthalten eine Vielzahl von Informationen, beispielsweise wann der Forwarder gestartet und wann er mit dem Senden von Daten an Google Cloud begonnen hat.

Chronicle-Forwarder deinstallieren

Führen Sie die folgenden Schritte aus, um den Chronicle-Forwarder-Dienst zu deinstallieren:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Beenden Sie den Chronicle-Forwarder-Dienst:

   SERVICE_NAME: chronicle_forwarder
   TYPE               : 10  WIN32_OWN_PROCESS
   STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
   WIN32_EXIT_CODE    : 0  (0x0)
   SERVICE_EXIT_CODE  : 0  (0x0)
   CHECKPOINT         : 0x0
   WAIT_HINT          : 0x0
   

3. Rufen Sie das Verzeichnis C:\Windows\system32\ChronicleForwarder auf und deinstallieren Sie den Chronicle-Forwarder-Dienst: C:\> .\chronicle_forwarder.exe -uninstall

Chronicle-Forwarder aktualisieren

Führen Sie die folgenden Schritte aus, um ein Upgrade des Chronicle-Forwarders durchzuführen und gleichzeitig Ihre aktuelle Konfigurationsdatei zu verwenden:

1. Öffnen Sie die Eingabeaufforderung im Administratormodus.

2. Kopieren Sie Ihre Konfigurationsdatei aus dem Verzeichnis C:\Windows\system32\ChronicleForwarder in ein anderes Verzeichnis.

3. Beenden Sie den Chronicle-Forwarder:

   C:\> sc.exe stop chronicle_forwarder
   

4. Deinstallieren Sie den Chronicle-Forwarder-Dienst und die zugehörige Anwendung:

   C:\> .\chronicle_forwarder.exe --uninstall
   

5. Löschen Sie alle Dateien im Verzeichnis C:\windows\system32\ChronicleForwarder.

6. Kopieren Sie die neue chronicle_forwarder.exe-Anwendung und die ursprüngliche Konfigurationsdatei in ein Arbeitsverzeichnis.

7. Führen Sie im Arbeitsverzeichnis den folgenden Befehl aus:

   C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou
   

8. Dienst starten:

   C:\ sc.exe start chronicle_forwarder
   

Splunk-Daten erfassen

Wenden Sie sich an den Chronicle-Support, um Ihre Chronicle-Forwarder-Konfigurationsdatei zu aktualisieren, um Ihre Splunk-Daten an Google Cloud weiterzuleiten.

Syslog-Daten erfassen

Der Chronicle-Forwarder kann als Syslog-Server betrieben werden. Sie können also jede Appliance oder jeden Server konfigurieren, der das Senden von Syslog-Daten über eine TCP- oder UDP-Verbindung unterstützt, um deren Daten an den Chronicle-Forwarder weiterzuleiten. Sie können genau steuern, welche Daten die Appliance oder der Server an den Chronicle-Forwarder sendet, der die Daten dann an Google Cloud weiterleiten kann.

Die Chronicle-Forwarder-Konfigurationsdatei gibt an, welche Ports für jeden Typ weitergeleiteter Daten überwacht werden sollen (z. B. Port 10514). Standardmäßig akzeptiert der Chronicle-Forwarder sowohl TCP- als auch UDP-Verbindungen. Wenden Sie sich an den Chronicle-Support, um Ihre Chronicle-Forwarder-Konfigurationsdatei für Syslog zu aktualisieren.

Datenkomprimierung ein-/ausschalten

Durch die Logkomprimierung wird der Verbrauch der Netzwerkbandbreite beim Übertragen von Logs an Chronicle reduziert. Die Komprimierung kann jedoch zu einer Erhöhung der CPU-Auslastung führen. Der Kompromiss zwischen CPU-Auslastung und Bandbreite hängt von vielen Faktoren ab, einschließlich der Art der Logdaten, der Komprimierbarkeit dieser Daten, der Verfügbarkeit von CPU-Zyklen auf dem Host, auf dem der Forwarder ausgeführt wird, und der Notwendigkeit, den Verbrauch der Netzwerkbandbreite zu reduzieren.

Textbasierte Logs werden beispielsweise gut komprimiert und können bei geringer CPU-Auslastung erhebliche Bandbreiteneinsparungen erzielen. Verschlüsselte Nutzlasten von Rohpaketen werden jedoch nicht gut komprimiert und verursachen eine höhere CPU-Auslastung.

Da die meisten vom Forwarder aufgenommenen Logtypen effizient komprimierbar sind, ist die Logkomprimierung standardmäßig aktiviert, um den Bandbreitenverbrauch zu reduzieren. Wenn die erhöhte CPU-Auslastung jedoch den Vorteil der Bandbreiteneinsparungen überwiegt, können Sie die Komprimierung deaktivieren. Dazu setzen Sie das Feld compression in der Chronicle-Forwarder-Konfigurationsdatei auf false, wie im folgenden Beispiel gezeigt:

  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

TLS für Syslog-Konfigurationen aktivieren

Sie können Transport Layer Security (TLS) für die Syslog-Verbindung zum Chronicle-Forwarder aktivieren. Geben Sie in der Konfigurationsdatei für den Chronicle-Forwarder den Speicherort Ihres Zertifikats und Ihres Zertifikatsschlüssels an, wie im folgenden Beispiel gezeigt:

Zertifikat	C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem
certificate_key	C:/opt/chronicle/external/certs/forwarder.key

Auf Grundlage des gezeigten Beispiels würde die Chronicle-Forwarder-Konfiguration so geändert werden:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "C:/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "C:/opt/chronicle/external/certs/forwarder.key"

Sie können im Konfigurationsverzeichnis ein Verzeichnis „certs“ erstellen und die Zertifikatsdateien dort speichern.

Paketdaten erfassen

Der Chronicle-Forwarder kann Pakete mithilfe von Npcap auf Windows-Systemen direkt von einer Netzwerkschnittstelle erfassen.

Pakete werden anstelle von Logeinträgen erfasst und an Google Cloud gesendet. Die Erfassung erfolgt nur über eine lokale Schnittstelle.

Wenden Sie sich an den Chronicle-Support, um Ihre Chronicle-Forwarder-Konfigurationsdatei zu aktualisieren, um die Paketerfassung zu unterstützen.

Zum Ausführen eines Paketerfassungs-Forwarders (PCAP) benötigen Sie Folgendes:

• Installieren Sie Npcap auf dem Microsoft Windows-Host.

• Gewähren Sie dem Chronicle-Forwarder-Root oder Administratorberechtigungen zum Überwachen der Netzwerkschnittstelle.

• Befehlszeilenoptionen sind nicht erforderlich.

• Aktivieren Sie in der Npcap-Installation den WinPcap-Kompatibilitätsmodus.

Zum Konfigurieren eines PCAP-Forwarders benötigt Google Cloud die GUID für die Schnittstelle, die zum Erfassen von Paketen verwendet wird. Führen Sie getmac.exe auf der Maschine aus, auf der Sie den Chronicle-Forwarder installieren möchten (entweder den Server oder die Maschine, die den Span-Port überwacht) und senden Sie die Ausgabe an Chronicle.

Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den PCAP-Abschnitt und ersetzen Sie den GUID-Wert neben der Schnittstelle durch die GUID, die beim Ausführen von getmac.exe angezeigt wird.

Hier sehen Sie beispielsweise einen ursprünglichen PCAP-Abschnitt:

 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

So sieht die Ausgabe von getmac.exe aus:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Und schließlich finden Sie hier den überarbeiteten PCAP-Abschnitt mit der neuen GUID:

- pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53

WebProxy-Daten erfassen

Der Chronicle-Forwarder kann WebProxy-Daten mit Npcap direkt von einer Netzwerkschnittstelle erfassen und an Google Cloud senden.

Wenn Sie die WebProxy-Datenerfassung für Ihr System aktivieren möchten, wenden Sie sich an den Chronicle-Support.

Führen Sie die folgenden Schritte aus, bevor Sie einen WebProxy-Forwarder ausführen:

1. Installieren Sie Npcap auf dem Microsoft Windows-Host. WinPcap-Kompatibilitätsmodus während der Installation aktivieren

2. Gewähren Sie dem Chronicle-Forwarder Root- oder Administratorberechtigungen, um die Netzwerkschnittstelle zu überwachen.

3. Zum Konfigurieren eines WebProxy-Forwarders benötigt Google Cloud die GUID für die Schnittstelle, die zum Erfassen der WebProxy-Pakete verwendet wird.

   Führen Sie getmac.exe auf dem Computer aus, auf dem Sie den Chronicle-Forwarder installieren möchten, und senden Sie die Ausgabe an Chronicle. Alternativ können Sie die Konfigurationsdatei ändern. Suchen Sie den Abschnitt „WebProxy“ und ersetzen Sie die GUID, die neben der Schnittstelle angezeigt wird, durch die GUID, die nach dem Ausführen von getmac.exe angezeigt wird.

   Ändern Sie die Konfigurationsdatei für die Chronicle-Forwarder-Konfiguration (FORWARDER_NAME.conf) so:

     - webproxy:
       common:
           enabled : true
           data_type: <Your LogType>
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
         bpf: tcp and dst port 80