Installazione e configurazione dell'inoltro su Windows

Questo documento descrive come installare e configurare l'inoltro su Microsoft Windows.

Personalizza i file di configurazione

A seconda delle informazioni inviate prima del deployment, Google Cloud fornisce un file eseguibile e un file di configurazione facoltativo per l'inoltro. Il file eseguibile deve essere eseguito solo sull'host per cui è stato configurato. Ogni file eseguibile include una configurazione specifica per l'istanza di forwarding sulla tua rete. Se devi modificare la configurazione, contatta l'assistenza Chronicle.

Requisiti di sistema

Di seguito sono riportati consigli generali. Per consigli specifici per il tuo sistema, contatta l'assistenza Chronicle.

  • Versione di Windows Server: l'inoltro di Chronicle è supportato nelle seguenti versioni di Microsoft Windows Server:

    • R2 2008
    • R2 2012
    • 2016
  • RAM: 1,5 GB per ogni tipo di dati raccolti. Ad esempio, rilevamento e risposta degli endpoint (EDR), DNS e DHCP sono tutti tipi di dati separati. Sono necessari 4,5 GB di RAM per raccogliere dati per tutti e tre.

  • CPU: 2 CPU sono sufficienti per gestire meno di 10.000 eventi al secondo (EPS) (totale per tutti i tipi di dati). Se prevedi di inoltrare più di 10.000 EPS, sono necessarie da 4 a 6 CPU.

  • Disco: sono sufficienti 100 MB di spazio su disco, a prescindere dalla quantità di dati gestiti dall'inoltro di Chronicle. L'inoltro di Chronicle non esegue il buffer su disco.

Verifica la configurazione del firewall

Se sono presenti firewall o proxy autenticati tra il container dell'inoltro e Internet, richiedono regole per consentire l'accesso ai seguenti host di Google Cloud:

Tipo di connessione Destinazione Port (Porta)
TCP malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443
TCP oauth2.googleapis.com 443

Puoi controllare la connettività di rete a Google Cloud seguendo questi passaggi:

  1. Avvia Windows PowerShell con i privilegi di amministratore (Windows -> fai clic con il pulsante destro del mouse su Windows PowerShell e seleziona Esegui come amministratore).

  2. Esegui il comando seguente. TcpTestSucceeded dovrebbe restituire come True.

    C:\> test-netconnection <host> -port <port>

    Ad esempio:

    C:\> test-net connection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True</font>
    

Puoi anche utilizzare l'inoltro per controllare la connettività di rete:

  1. Avvia il prompt dei comandi con i privilegi di amministratore (Windows -> fai clic con il pulsante destro del mouse sul prompt dei comandi e seleziona Esegui come amministratore).
  2. Per verificare la connettività di rete, esegui l'inoltro con l'opzione -test.

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

Installare l'inoltro su Windows

Su Windows, l'eseguibile dell'inoltro deve essere installato come servizio.

  1. Copia il file chronicle_forwarder.exe e il file di configurazione in una directory funzionante.

  2. Avvia il prompt dei comandi con i privilegi di amministratore (Windows -> fai clic con il pulsante destro del mouse sul prompt dei comandi e seleziona Esegui come amministratore).

  3. Per installare il servizio, passa alla directory di lavoro che hai creato nel passaggio 1 e invia il seguente comando:

    C:\> .\chronicle_forwarder.exe -install -config <configFileProvidedToYou>
    
    The service is installed to C:\Windows\system32\ChronicleForwarder
    
  4. Per avviare il servizio, esegui il comando seguente:

    C:\> sc.exe start chronicle_forwarder

Verifica che l'inoltro sia in esecuzione

L'inoltro deve avere una connessione di rete aperta sulla porta 443 e i tuoi dati dovrebbero essere visualizzati nell'interfaccia web di Chronicle entro pochi minuti.

Puoi verificare che l'inoltro sia in esecuzione utilizzando uno dei seguenti metodi:

  • Task Manager: vai alla scheda Processi. Nella sezione Processi in background deve essere elencato chronicle_forwarder.

  • Risorse di monitoraggio: nella scheda Rete, l'applicazione chronicle_forwarder.exe dovrebbe essere elencata in Attività di rete (ogni volta che l'applicazione chronicle_forwarder.exe si connette a Google Cloud), nella sezione Connessioni TCP e in Porte di ascolto.

  • File di log per l'inoltro delle cronologie: vai alla cartella C:\Windows\Temp. Qui sono archiviati i file di log dell'inoltro di Chronicle. Tutti i file di log iniziano con chronicle_forwarder.exe.win-forwarder. Apri il file di log più recente in un editor di testo. Fornisce diverse informazioni, tra cui quando è stato avviato l'inoltro di Chronicle e quando ha iniziato a inviare dati a Google Cloud.

Disinstallare l'inoltro

Per disinstallare il servizio di inoltro, segui questi passaggi:

  1. Apri il prompt dei comandi in modalità amministratore.

  2. Interrompi il servizio di inoltro Chronicle:

    C:\> sc.exe stop chronicle_forwarder
    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. Vai alla directory C:\Windows\system32\ChronicleForwarder e disinstalla il servizio di inoltro Chronicle: C:\> .\chronicle_forwarder.exe -uninstall

Esegui l'upgrade dell'inoltro

Per eseguire l'upgrade dell'inoltro quando continui a utilizzare il file di configurazione corrente:

  1. Apri il prompt dei comandi in modalità amministratore.

  2. Copia il file di configurazione dalla directory C:\Windows\system32\ChronicleForwarder in un'altra directory.

  3. Interrompi l'inoltro di Chronicle:

    C:\> sc.exe stop chronicle_forwarder

  4. Disinstalla il servizio e l'applicazione di inoltro Chronicle:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. Elimina tutti i file nella directory C:\windows\system32\ChronicleForwarder.

  6. Copia la nuova applicazione chronicle_forwarder.exe e il file di configurazione originale in una directory funzionante.

  7. Dalla directory di lavoro, esegui il comando seguente:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. Avvia il servizio:

    C:\ sc.exe start chronicle_forwarder

Raccogli dati Splunk

Contatta l'assistenza Chronicle per aggiornare il file di configurazione dell'inoltro Chronicle per inoltrare i tuoi dati Splunk a Google Cloud.

Raccogli dati syslog

L'inoltro di Chronicle può operare come server Syslog, pertanto puoi configurare qualsiasi appliance o server che supporti l'invio dei dati di syslog su una connessione TCP o UDP per inoltrare i dati all'inoltro di Chronicle. Puoi controllare esattamente quali dati l'appliance o il server inviano all'inoltro Chronicle, che può quindi inoltrare i dati a Google Cloud.

Il file di configurazione dell'inoltro di Chronicle specifica quali porte monitorare per ogni tipo di dati inoltrati (ad esempio, la porta 10514). Per impostazione predefinita, l'inoltro di Chronicle accetta entrambe le connessioni TCP e UDP. Contatta l'assistenza Chronicle per aggiornare il file di configurazione dell'inoltro di Chronicle al supporto di syslog.

Attiva/disattiva compressione dati

La compressione dei log riduce il consumo di larghezza di banda della rete durante il trasferimento dei log su Chronicle. Tuttavia, la compressione potrebbe causare un aumento dell'utilizzo della CPU. Il compromesso tra l'utilizzo della CPU e la larghezza di banda dipende da molti fattori, tra cui il tipo di dati dei log, la comprimibilità di tali dati, la disponibilità dei cicli di CPU sull'host che esegue l'inoltro e la necessità di ridurre il consumo di larghezza di banda della rete.

Ad esempio, i log basati su testo si comprimeno bene e possono fornire un notevole risparmio di larghezza di banda con un utilizzo ridotto della CPU. Tuttavia, i payload criptati dei pacchetti non elaborati non vengono compressi bene e comportano un maggiore utilizzo della CPU.

Poiché la maggior parte dei tipi di log importati dall'inoltro sono comprimibili, la compressione dei log è abilitata per impostazione predefinita per ridurre il consumo di larghezza di banda. Tuttavia, se l'aumento dell'utilizzo della CPU supera il vantaggio del risparmio di larghezza di banda, puoi disattivare la compressione impostando il campo compression su false nel file di configurazione dello strumento di inoltro Chronicle, come mostrato nell'esempio seguente:

  output:
  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

Abilita TLS per configurazioni syslog

Puoi attivare il protocollo Transport Layer Security (TLS) per la connessione Syslog all'inoltro di Chronicle. Nel file di configurazione dell'inoltro di Chronicle, specifica la posizione del certificato e della chiave del certificato come mostrato nell'esempio seguente:

certificato "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
chiave_certificato "/opt/chronicle/external/certs/forwarder.key"

In base all'esempio mostrato, la configurazione dell'inoltro di Chronicle sarebbe modificata come segue:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

Puoi creare una directory di certificati nella directory di configurazione e archiviare lì i file dei certificati.

Raccogli i dati dei pacchetti

L'inoltro di Chronicle può acquisire pacchetti direttamente dall'interfaccia di rete utilizzando WinPcap o Npcap su sistemi Windows. I pacchetti vengono acquisiti e inviati a Google Cloud anziché alle voci di log. L'acquisizione avviene solo da un'interfaccia locale.

Contatta l'assistenza Chronicle per aggiornare il file di configurazione dell'inoltro di Chronicle per supportare l'acquisizione dei pacchetti.

Per eseguire un forwarding del pacchetto di acquisizione pacchetti (PCAP), hai bisogno di:

  • Per gli host Microsoft Windows, installa WinPcap o Npcap a seconda dei requisiti dell'organizzazione.

  • L'inoltro di Chronicle richiede privilegi di amministratore o di root per monitorare l'interfaccia di rete.

  • Non sono necessarie opzioni della riga di comando.

  • Per le installazioni di Npcap, attiva la modalità di compatibilità di WinPcap.

Per configurare un inoltro PCAP, Google Cloud necessita del GUID per l'interfaccia utilizzata per acquisire i pacchetti. Esegui getmac.exe sul computer in cui prevedi di installare l'inoltro di Chronicle (il server o il computer in ascolto sulla porta span) e invia l'output a Chronicle.

In alternativa, puoi modificare il file di configurazione. Individua la sezione PCAP e sostituisci il valore GUID visualizzato accanto all'interfaccia con GUID visualizzato dall'esecuzione di getmac.exe.

Ad esempio, ecco una sezione originale di PCAP:

- pcap:
 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

Ecco l'output dall'esecuzione di getmac.exe:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Infine, ecco la nuova sezione PCAP con il nuovo GUID:

  - pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53