Chronicle SIEM 转发器概览
Chronicle SIEM 转发器是一种软件组件,可在您网络上的机器或设备(如服务器)上运行。Chronicle SIEM 转发器可以收集日志数据和网络接口数据包,并将这些数据转发到您的 Chronicle SIEM 实例。
每个部署的 Chronicle SIEM 转发器都需要一个转发器配置文件。转发器配置文件指定了各种设置,用于定义如何将数据转移到 Chronicle SIEM 实例,例如数据压缩。转发器配置文件还会指定一个或多个收集器配置。每项收集器配置都会指定收集器的提取机制(例如 File、Kafka、PCAP、Splunk、Syslog 或 WebProxy)、日志类型和其他设置。
您可以在同一转发器上使用多个收集器,以便从各种机制和日志类型中注入数据。例如,您可以配置一个转发器,使其包含两个 Syslog 收集器,分别监听不同端口上的 PAN_FIREWALL
和 CISCO_ASA_FIREWALL
数据。
如需使用 Chronicle 界面创建、管理和下载转发器配置,请参阅通过 Chronicle 界面管理转发器配置。
如需以编程方式创建、管理和下载转发器配置,请参阅 Forwarder Management API。
如需在每个平台上安装和配置转发器,请参阅:
如需了解如何使用转发器提取特定数据集,请参阅以下内容:
- 安装 Carbon Black 事件转发器
- 收集 Cisco ASA 防火墙日志
- 收集 Corelight 传感器日志
- 收集 Fluentd 日志
- 收集 Linux Auditd 和 Unix 系统日志
- 收集 Microsoft Windows AD 数据
- 收集 Microsoft Windows DHCP 数据
- 收集 Microsoft Windows DNS 数据
- 收集 Microsoft Windows 事件数据
- 收集 Microsoft Windows Sysmon 数据
- 收集 osquery 日志
- 收集 OSSEC 日志
- 收集 Palo Alto Networks 防火墙日志
- 收集 Splunk CIM 日志
- 收集 Zeek 日志