使用资源命名空间

当您在 Chronicle 中搜索资产（例如使用 IP 地址或主机名）时，可以查看与该资产关联的所有活动。有时，有多个资产与同一 IP 地址或主机名相关联（例如，来自不同网段上重叠的 RFC 1918 IP 地址分配）。

通过资产命名空间功能，您可以对共享公共网络环境或命名空间的资产进行分类，然后根据 Chronicle 界面的命名空间搜索这些资产。例如，您可以为云网络、公司与生产细分、合并和收购网络等创建命名空间。

创建命名空间并为其分配命名空间

所有资产都有一个自动定义或手动配置的命名空间。如果日志中未提供命名空间，则 default 命名空间会与 Chronicle 界面中标记为“未标记”的资产相关联。在命名空间支持之前提取到 Chronicle 中的日志会隐式标记为默认或未标记命名空间的一部分。

您可以使用以下方式配置命名空间：

• Chronicle 转发器的 Linux 版本。
• 部分标准化解析器（例如，对于 Google Cloud）可以自动填充命名空间（对于 Google Cloud，根据项目和 VPC 标识符填充）。
• Chronicle Ingestion API。
• Chronicle Feed 管理。

Chronicle 界面中的命名空间

您将在整个 Chronicle 界面中看到附加到资源的命名空间，尤其是当存在资源列表时，其中包括：

• UDM 搜索
• 原始日志扫描
• 企业数据洞察
• 检测视图

搜索栏

使用搜索栏时，系统会显示与每项素材资源关联的命名空间。选择特定命名空间内的某项资源会在“资源”视图中打开该资源，从而显示与同一命名空间关联的其他 activity。

任何与命名空间没有关联的资产都将分配给默认命名空间。但是，默认命名空间不会显示在列表中，如下方针对 Chronicle 搜索栏的列表。

搜索栏

“资产”视图

在“资产”视图中，命名空间在页面顶部的资产标题中指明。如果您通过点击下拉菜单来选择下拉菜单，则可以选择与资产关联的其他命名空间。

具有命名空间的“资产”视图

IP 地址、网域和哈希视图

在整个 Chronicle 界面中，命名空间会显示在引用资产的任何位置（默认或未标记的命名空间除外），包括 IP 地址、网域和哈希视图。

例如，在“IP 地址”视图（如下所示）中，命名空间同时包含在资产标签页和普及率图表中。

包含命名空间的“IP 地址”视图

注入标签

如需进一步缩小搜索范围，您可以使用提取标签来设置单独的 Feed。如需查看支持的提取标签的完整列表，请参阅支持的默认解析器。

示例：向日志添加命名空间的三种方法

以下示例介绍了三种不同方法，您可向注入到 Chronicle 帐号的日志添加命名空间。

使用 Chronicle Forwarder 分配命名空间。

您可以将命名空间作为转发器专用命名空间或收集器专用命名空间添加到 Chronicle Forwarder 配置文件中，从而配置该命名空间。以下示例转发器配置说明了这两种类型：

metadata:
  namespace: FORWARDER
collectors:
- syslog:
      common:
        metadata:
          namespace: CORPORATE
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: NIX_SYSTEM
        enabled: true
      tcp_address: 0.0.0.0:30000
      connection_timeout_sec: 60
- syslog:
      common:
        batch_n_bytes: 1048576
        batch_n_seconds: 10
        data_hint: null
        data_type: WINEVTLOG
        enabled: true
      tcp_address: 0.0.0.0:30001
      connection_timeout_sec: 60

如本例所示，源自 WINEVTLOG 的日志包含命名空间标记 FORWARDER。源自 NIX_SYSTEM 的日志包含命名空间标记 CORPORATE。

此操作会为日志收集器设置整个命名空间。如果您的环境中混用属于多个命名空间的日志，并且您无法对这些机器进行细分（或者这是特意设计的），Google 建议您为使用正则表达式将日志过滤到各自命名空间的同一日志源创建多个收集器。

使用 Ingestion API 分配命名空间

通过 Chronicle ingestion API 中的 unstructuredlogentries 端点发送日志时，您还可以配置命名空间，如以下示例所示：

{
  "customer_id": "c8c65bfa-5f2c-42d4-9189-64bb7b939f2c",
  "log_type": "BIND_DNS",
  "namespace": "FORWARDER"
  "entries": [
    {
      "log_text": "26-Feb-2019 13:35:02.187 client 10.120.20.32#4238: query: altostrat.com IN A + (203.0.113.102)",
      "ts_epoch_microseconds": 1551188102187000
    },
    {
      "log_text": "26-Feb-2019 13:37:04.523 client 10.50.100.33#1116: query: examplepetstore.com IN A + (203.0.113.102)",
      "ts_rfc3339": "2019-26-02T13:37:04.523-08:00"
    },
    {
      "log_text": "26-Feb-2019 13:39:01.115 client 10.1.2.3#3333: query: www.example.com IN A + (203.0.113.102)"
    },
  ]
}

在此示例中，命名空间是 API POST 调用的正文参数。来自 BIND\_DNS 的日志会使用 FORWARDER 命名空间标记转发其日志数据。

使用 Chronicle Feeds Management 分配命名空间

如 Feed 管理用户指南中所述，借助 Chronicle Feeds Management，您可以在 Chronicle 租户中设置和管理各种日志流。

在以下示例中，系统会通过 FORWARDER 命名空间标记提取 Office 365 日志：

图 1：包含 FORWARDER 命名空间标记的 Feed 管理配置