Chronicle SIEM 转发器概览

Chronicle SIEM 转发器是一种软件组件,可在您网络上的机器或设备(如服务器)上运行。Chronicle SIEM 转发器可以收集日志数据和网络接口数据包,并将这些数据转发到您的 Chronicle SIEM 实例。

每个部署的 Chronicle SIEM 转发器都需要一个转发器配置文件。转发器配置文件指定了各种设置,用于定义如何将数据转移到 Chronicle SIEM 实例,例如数据压缩。转发器配置文件还会指定一个或多个收集器配置。每项收集器配置都会指定收集器的提取机制(例如 File、Kafka、PCAP、Splunk、Syslog 或 WebProxy)、日志类型和其他设置。

您可以在同一转发器上使用多个收集器,以便从各种机制和日志类型中注入数据。例如,您可以配置一个转发器,使其包含两个 Syslog 收集器,分别监听不同端口上的 PAN_FIREWALLCISCO_ASA_FIREWALL 数据。

如需使用 Chronicle 界面创建、管理和下载转发器配置,请参阅通过 Chronicle 界面管理转发器配置

如需以编程方式创建、管理和下载转发器配置,请参阅 Forwarder Management API

如需在每个平台上安装和配置转发器,请参阅:

  1. 适用于 Linux 的 Chronicle SIEM 转发器

  2. 在 Docker 上使用 Windows 的 Chronicle SIEM 转发器

  3. 适用于 Windows 的 Chronicle SIEM 转发程序可执行文件

如需了解如何使用转发器提取特定数据集,请参阅以下内容: