Chronicle SIEM-Forwarder – Übersicht

Der Chronicle SIEM-Forwarder ist eine Softwarekomponente, die auf einer Maschine oder einem Gerät in Ihrem Netzwerk ausgeführt wird, z. B. auf einem Server. Der Chronicle SIEM-Forwarder erfasst Logdaten und Netzwerkschnittstellenpakete und leitet diese Daten an Ihre Chronicle SIEM-Instanz weiter.

Für jeden bereitgestellten Chronicle SIEM-Forwarder ist eine Forwarder-Konfigurationsdatei erforderlich. Eine Forwarder-Konfigurationsdatei gibt verschiedene Einstellungen an, mit denen festgelegt wird, wie Daten an Ihre Chronicle SIEM-Instanz übertragen werden, z. B. die Datenkomprimierung. In einer Forwarder-Konfigurationsdatei werden auch eine oder mehrere Collector-Konfigurationen angegeben. Jede Collector-Konfiguration legt den Aufnahmemechanismus des Collectors (z. B. Datei, Kafka, PCAP, Splunk, Syslog oder WebProxy), den Logtyp und andere Einstellungen fest.

Sie können viele Collectors für denselben Forwarder verwenden, um Daten aus einer Vielzahl von Mechanismen und Logtypen aufzunehmen. Sie können beispielsweise einen Forwarder mit zwei Syslog-Collectors konfigurieren, die PAN_FIREWALL- und CISCO_ASA_FIREWALL-Daten jeweils auf separaten Ports überwachen.

Informationen zum Erstellen, Verwalten und Herunterladen der Forwarder-Konfiguration über die Chronicle-Benutzeroberfläche finden Sie unter Forwarder-Konfigurationen über die Chronicle-UI verwalten.

Informationen zum programmatischen Erstellen, Verwalten und Herunterladen der Forwarder-Konfiguration finden Sie unter Forwarder Management API.

Informationen zum Installieren und Konfigurieren eines Forwarders auf jeder Plattform finden Sie unter:

  1. Chronicle SIEM-Forwarder für Linux

  2. Chronicle SIEM-Forwarder für Windows in Docker

  3. Ausführbare Chronicle SIEM-Forwarder-Programmdatei für Windows

Informationen dazu, wie ein bestimmtes Dataset mithilfe von Forwardern aufgenommen wird, finden Sie hier: