Chronicle SIEM 转发器概览

Chronicle SIEM 转发器是一种软件组件，可在您网络上的机器或设备（如服务器）上运行。Chronicle SIEM 转发器可以收集日志数据和网络接口数据包，并将这些数据转发到您的 Chronicle SIEM 实例。

每个部署的 Chronicle SIEM 转发器都需要一个转发器配置文件。转发器配置文件指定了各种设置，用于定义如何将数据转移到 Chronicle SIEM 实例，例如数据压缩。转发器配置文件还会指定一个或多个收集器配置。每项收集器配置都会指定收集器的提取机制（例如 File、Kafka、PCAP、Splunk、Syslog 或 WebProxy）、日志类型和其他设置。

您可以在同一转发器上使用多个收集器，以便从各种机制和日志类型中注入数据。例如，您可以配置一个转发器，使其包含两个 Syslog 收集器，分别监听不同端口上的 PAN_FIREWALL 和 CISCO_ASA_FIREWALL 数据。

如需使用 Chronicle 界面创建、管理和下载转发器配置，请参阅通过 Chronicle 界面管理转发器配置。

如需以编程方式创建、管理和下载转发器配置，请参阅 Forwarder Management API。

如需在每个平台上安装和配置转发器，请参阅：

1. 适用于 Linux 的 Chronicle SIEM 转发器

2. 在 Docker 上使用 Windows 的 Chronicle SIEM 转发器

3. 适用于 Windows 的 Chronicle SIEM 转发程序可执行文件

如需了解如何使用转发器提取特定数据集，请参阅以下内容：

• 安装 Carbon Black 事件转发器
• 收集 Cisco ASA 防火墙日志
• 收集 Corelight 传感器日志
• 收集 Fluentd 日志
• 收集 Linux Auditd 和 Unix 系统日志
• 收集 Microsoft Windows AD 数据
• 收集 Microsoft Windows DHCP 数据
• 收集 Microsoft Windows DNS 数据
• 收集 Microsoft Windows 事件数据
• 收集 Microsoft Windows Sysmon 数据
• 收集 osquery 日志
• 收集 OSSEC 日志
• 收集 Palo Alto Networks 防火墙日志
• 收集 Splunk CIM 日志
• 收集 Zeek 日志