Panoramica dei server di inoltro di Chronicle SIEM

Il forwardinger Chronicle SIEM è un componente software che viene eseguito su una macchina o dispositivo sulla rete, ad esempio un server. Il forwarding di Chronicle SIEM può raccogliere dati di log e pacchetti dell'interfaccia di rete e inoltrarli alla tua istanza Chronicle SIEM.

Ogni server di forwarding Chronicle SIEM di cui è stato eseguito il deployment richiede un file di configurazione per il forwarding. Un file di configurazione dell'inoltro specifica varie impostazioni che definiscono la modalità di trasferimento dei dati alla tua istanza SIEM di Chronicle, come la compressione dei dati. Un file di configurazione dell'inoltro specifica anche una o più configurazioni dei raccoglitori. Ogni configurazione del raccoglitore specifica il meccanismo di importazione del raccoglitore (ad esempio File, Kafka, PCAP, Splunk, Syslog o WebProxy), il tipo di log e altre impostazioni.

Puoi utilizzare molti raccoglitori sullo stesso forwarding per importare i dati da una varietà di meccanismi e tipi di log. Ad esempio, puoi configurare un forwarding con due raccoglitori syslog in ascolto dei dati PAN_FIREWALL e CISCO_ASA_FIREWALL, rispettivamente, su porte separate.

Per creare, gestire e scaricare la configurazione dell'inoltro utilizzando l'interfaccia utente di Chronicle, consulta Gestire le configurazioni dell'inoltro tramite l'interfaccia utente di Chronicle.

Per creare, gestire e scaricare la configurazione dell'inoltro in modo programmatico, consulta API di gestione del forwarding.

Per installare e configurare un forwarding su ogni piattaforma, vedi:

Per scoprire come viene importato un particolare set di dati utilizzando i server di inoltro, vedi quanto segue: