Forwarder Management API
您可以使用 Google Security Operations Forwarder Management API 以编程方式执行以下操作:
- 创建和管理转发器。
- 创建和管理收集器。
- 获取 Google Security Operations 转发器的 config.(
.conf) 和身份验证 (_auth.conf) 文件的内容。
转发器由一个或多个收集器组成。每个收集器的配置 指定其提取机制(例如,File、Kafka、PCAP、Splunk 或 Syslog)和日志类型。
在满足硬件要求的情况下,您可以在同一个转发器上使用多个收集器,从各种机制和日志类型中注入数据。例如: 您可以安装具有两个 Syslog 收集器的转发器,分别监听不同端口上的 PAN_FIREWALL 和 CISCO_ASA_FIREWALL 数据。
借助该 API,您可以在 Google Security Operations 实例中创建转发器及其收集器。创建转发器后,您可以使用 Generate Forwarder Files 端点获取转发器配置 (.conf) 和身份验证 (_auth.conf) 文件的文件内容(作为 JSON 载荷)。然后,可以将这些内容写入其各自的 .conf 文件,以便通过 Google Security Operations 进行部署
Windows 或 Linux 系统上的转发器服务。
如需查看使用 Forwarder Management API 的 Python 示例,请参阅 GitHub 代码库。
创建转发器及其收集器
必须先创建转发器,然后才能创建它的任何收集器。
如需创建转发器及其收集器,请执行以下操作:
如何使用 Google Security Operations API 进行身份验证 [:#authenticate]
此 Google Security Operations API 使用 OAuth 2.0 协议进行身份验证和授权。您的 应用可以使用以下任一实现方式来完成这些任务:
使用适用于您计算机语言的 Google API 客户端库。
使用 HTTP 直接与 OAuth 2.0 系统对接。
请参阅 Python 中的 Google 身份验证库的参考文档。
Google 身份验证库是 Google API 客户端库的子集。请参阅其他语言实现方式。
获取 API 身份验证凭据
您的 Google Security Operations 代表将为您提供一位 Google Developer 服务账号凭据,使 API 客户端能够与 API 进行通信。
在初始化 API 客户端时,您还必须提供 Auth 作用域。OAuth 2.0 的用途 作用域,以限制应用对账号的访问权限。当应用请求范围时 授予应用的访问令牌仅限于授予的范围。
请使用以下范围初始化您的 Google API 客户端:
https://www.googleapis.com/auth/chronicle-backstory
Python 示例
以下 Python 示例演示了如何使用 OAuth2 凭据
和 HTTP 客户端(使用 google.oauth2 和 googleapiclient)。
# Imports required for the sample - Google Auth and API Client Library Imports.
# Get these packages from https://pypi.org/project/google-api-python-client/ or run $ pip
# install google-api-python-client from your terminal
from google.oauth2 import service_account
from googleapiclient import _auth
SCOPES = ['https://www.googleapis.com/auth/chronicle-backstory']
# The apikeys-demo.json file contains the customer's OAuth 2 credentials.
# SERVICE_ACCOUNT_FILE is the full path to the apikeys-demo.json file
# ToDo: Replace this with the full path to your OAuth2 credentials
SERVICE_ACCOUNT_FILE = '/customer-keys/apikeys-demo.json'
# Create a credential using Google Developer Service Account Credential and Google Security Operations API
# Scope.
credentials = service_account.Credentials.from_service_account_file(SERVICE_ACCOUNT_FILE, scopes=SCOPES)
# Build an HTTP client to make authorized OAuth requests.
http_client = _auth.authorized_http(credentials)
# <your code continues here>
Chronicle API 查询限制
Chronicle API 对 针对 Google Security Operations 平台的任何客户。如果您达到或超过 查询限制,Chronicle API 服务器会返回 HTTP 429 (RESOURCE_EXHAUSTED) 以 调用方。在开发适用于 Chronicle API 的应用时,Google 建议您在自己的系统中强制执行速率限制 精疲力尽。这些限制适用于所有 Chronicle API,包括 Search API、Forwarder Management API 和 Tooling API。
正在对 Chronicle Forwarder Management API 实施以下限制 并以每秒查询次数 (QPS) 计算:
| Chronicle API | API 端点 | 限制 |
| 转发器管理 | 创建转发器 | 1 QPS |
| 获取转发器 | 1 QPS | |
| 列出转发器 | 1 QPS | |
| 更新转发器 | 1 QPS | |
| 删除转发器 | 1 QPS | |
| 收集器管理 | 创建收集器 | 1 QPS |
| 获取收集器 | 1 QPS | |
| 列出收集器 | 1 QPS | |
| 更新收集器 | 1 QPS | |
| 删除收集器 | 1 QPS |
Forwarder API 参考文档
本部分介绍用于创建和管理转发器的端点。如需了解用于创建和管理收集器的端点,请参阅 Collector API 参考文档。
创建转发器
在 Google SecOps 实例中创建新的转发器。新的转发器将包含请求正文中提供的所有 forwarder 配置值。在使用“创建转发器”之后,必须使用“创建收集器”指定收集器的配置值。
对于某些设置,请求正文中缺失或为零的配置值会被设为默认值。如需详细了解转发器字段和值,请参阅转发器配置字段。
请求
POST https://backstory.googleapis.com/v2/forwarders
请求正文
{
"display_name": string,
"config": {
object (ForwarderConfig)
}
}
正文参数
| 字段 | 类型 | 必需 | 说明 |
|---|---|---|---|
| display_name | string | 必填 | 转发器的名称。此名称显示在 Google SecOps 中 界面。 |
| config | 对象 | 可选 | 此转发器的配置设置。请参阅转发器配置字段。 |
请求示例
此示例展示了“创建转发器”请求中的必需键值对。 如果请求中未指定某个字段且具有默认值,则使用默认值 值。如需详细了解默认值,请参阅 转发器配置字段。
POST https://backstory.googleapis.com/v2/forwarders
{
"display_name": "chronicle_forwarder"
}
响应
如果请求成功,则响应将返回 HTTP 状态代码 200 (确定)。
响应会显示创建 。默认配置值适用于 如果在创建资源时缺少或生成零值,则会发生以下情况: 请求正文。有关详情,请参阅 转发器配置字段。
响应字段
除了请求中指定的字段和 默认值,响应将包含下面生成的 仅限输出的字段。
| 字段 | 类型 | 说明 |
|---|---|---|
| name | string | 转发器的资源 ID。格式为
“forwarders/forwarderID”。例如: forwarders/12ab3cd4-56ef-7ghi-j89k-1l23m4nopq56 |
| state | 枚举 | 指定转发器的当前状态。有效值包括:
默认值为 ACTIVE。 |
响应示例
这是针对上述请求示例返回的响应示例。
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
"displayName": "chronicle_forwarder",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
"drainTimeout": 10,
"httpSettings": {
"port": "8080",
"host": "0.0.0.0",
"readTimeout": "3",
"readHeaderTimeout": "3",
"writeTimeout": "3",
"idleTimeout": "3"
"routeSettings": {
"availableStatusCode": "204",
"readyStatusCode": "204",
"unreadyStatusCode": "503"
},
},
},
},
"state": "ACTIVE"
}
获取转发器
返回转发器。
请求
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}
请求正文
请勿包含请求正文。
请求示例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56
响应示例
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
"displayName": "chronicle_forwarder",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
"drainTimeout": 10,
"httpSettings": {
"port": "8080",
"host": "0.0.0.0",
"readTimeout": "3",
"readHeaderTimeout": "3",
"writeTimeout": "3",
"idleTimeout": "3"
"routeSettings": {
"availableStatusCode": "204",
"readyStatusCode": "204",
"unreadyStatusCode": "503"
},
},
},
},
"state": "ACTIVE"
}
列出转发器
列出 Google SecOps 实例的所有转发器。
请求
GET https://backstory.googleapis.com/v2/forwarders
请求示例
GET https://backstory.googleapis.com/v2/forwarders
响应
返回转发器列表。
响应示例
{
"forwarders": [
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56",
"displayName": "chronicle_forwarder_1",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
...
},
},
"state": "ACTIVE"
},
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde57",
"displayName": "chronicle_forwarder_2",
"config": {
"uploadCompression": "false",
"serverSettings": {
"gracefulTimeout": 15,
...
},
},
"state": "ACTIVE"
}
]
}
更新转发器
您可以使用 updateMask 网址查询参数指定要更新的字段,以更新转发器。
例如,如需更新显示名,您可以在补丁请求中使用 updateMask 查询参数,如下所示:
?updateMask=displayName
请求正文应仅包含您要更新的字段(在 用户的确切位置)。
请求
PATCH https://backstory.googleapis.com/v2/forwarders/{forwarderID}?updateMask=<field_1,field_2>
请求正文
{
"display_name": string,
"config": {
object (ForwarderConfig)
},
}
正文参数
| 字段 | 类型 | 必需 | 说明 |
|---|---|---|---|
| display_name | string | 必填 | 转发器的名称。此名称显示在 Google SecOps 中 界面。 |
| config | 对象 | 可选 | 此转发器的配置设置。请参阅转发器配置字段。 |
请求示例
这是更新转发器请求的示例,其中请求指定
displayName 的新值,并添加元数据标签。
PATCH https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56?updateMask=displayName,config.metadata.labels
{
"display_name": "UpdatedForwarder",
"config": {
"metadata": {
"labels": [
{
"key": "office",
"value": "corporate",
}
]
}
}
}
响应示例
这是针对上述请求示例返回的响应示例。
{
"name": "forwarders/{forwarderUUID}",
"displayName": "UpdatedForwarder",
"config": {
"uploadCompression": "false",
"metadata": {
"labels": [
{
"key": "office",
"value": "corporate"
}
]
}
},
"state": "ACTIVE"
}
删除转发器
删除转发器。
请求
DELETE https://backstory.googleapis.com/v2/forwarders/{forwarderID}
请求正文
请勿包含请求正文。
请求示例
DELETE https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56
响应示例
如果操作成功,则删除转发器将返回包含 返回 HTTP 状态代码 200 (OK)。
{}
生成转发器文件
生成并返回转发器的配置 (.conf) 和身份验证 (_auth.conf) 文件的内容。
请求
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}:generateForwarderFiles
请求正文
请勿包含请求正文。
请求示例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56:generateForwarderFiles
响应示例
如果操作成功,将返回 HTTP 状态代码 200 (OK)。它
还会返回转发器配置文件的内容,包括
转发器收集器的配置数据以及
身份验证 (_auth.conf) 文件,转发器使用该文件进行身份验证
Google SecOps 实例。
转发器配置字段
下表列出了您可以使用的转发器配置设置 请使用“创建转发器”和更新转发器来指定如果您未指定值 使用“创建转发器”时,此设置的默认值(显示 )。
可以在请求的 config 对象中提供以下字段
正文。
| 字段 | 类型 | 必需 | 说明 |
|---|---|---|---|
| upload_compression | 布尔值 | 可选 | 如果为 true,则在上传之前会批量压缩数据。默认值为 false。 |
| metadata.asset_namespace | string | 可选 | 用于标识来自此转发器的日志的命名空间。 注意:这是一项全局设置,适用于 转发器和转发器的收集器,除非在 收集器级别的数据如需了解详情,请参阅配置命名空间。 |
| metadata.labels | list | 可选 | 可在
转发器配置。 注意:这是一项全局设置,适用于 转发器和转发器的收集器,除非在 收集器级别的数据 |
| metadata.labels.key | string | 可选 | 元数据标签列表中字段的键。 |
| metadata.labels.value | string | 可选 | 元数据标签列表中某个字段的值。 |
| regex_filters.description | string | 可选 | 描述遭到过滤的内容以及过滤原因。 |
| regex_filters.regexp | string | 可选 | 用于匹配每个传入行的正则表达式。 |
| regex_filters.behavior | 枚举 | 可选 | 指定服务器功能的状态。有效值 分别是:
|
| server_settings | 对象 | 可选 | 用于配置转发器内置 HTTP 服务器的设置, 可用于为 Linux 上的 Syslog 收集配置负载均衡和高可用性选项。 |
| server_settings.state | 枚举 | 可选 | 指定服务器功能的状态。有效值 分别是:
|
| server_settings.graceful_timeout | 整数 | 可选 | 经过多少秒之后转发器会返回错误
就绪性/健康检查,并且仍然接受新连接。这是
以及从接收信号停止
开始关闭服务器本身。这样,
从池中移除转发器的时间。 默认值为 15。 |
| server_settings.drain_timeout | 整数 | 可选 | 转发器等待活跃状态的秒数
在被
服务器 默认值为 10。 |
| server_settings.http_settings.port | 整数 | 可选 | HTTP 服务器用于监听健康检查的端口号
进行负载均衡器必须介于 1024-65535 之间。 默认值为 8080。 |
| server_settings.http_settings.host | string | 可选 | 可以解析为 IP 地址的 IP 地址或主机名
服务器应监听的节点数量 默认值为 0.0.0.0(本地系统)。 |
| server_settings.http_settings.read_timeout | 整数 | 可选 | 读取整个请求的秒数上限,
包括标头和正文 默认值为 3。 |
| server_settings.http_settings.read_header_timeout | 整数 | 可选 | 允许读取请求标头的最大秒数。 默认值为 3。 |
| server_settings.http_settings.write_timeout | 整数 | 可选 | 允许发送响应的最大秒数。 默认值为 3。 |
| server_settings.http_settings.idle_timeout | 整数 | 可选 | 空闲时等待下一个请求的秒数上限
连接。 默认值为 3。 |
| server_settings.http_settings.route_settings.available_status_code | 整数 | 可选 | 收到活跃性检查且
转发器是否可用。 默认值为 204。 |
| server_settings.http_settings.route_settings.ready_status_code | 整数 | 可选 | 当转发器准备好接受时返回的状态代码
流量。 默认值为 204。 |
| server_settings.http_settings.route_settings.unready_status_code | 整数 | 可选 | 当转发器尚未准备好接受时返回的状态代码
流量。 默认值为 503。 |
Collector API 参考文档
本部分介绍可用于使用收集器的端点。
创建和更新收集器时,请注意,每个收集器配置都可以为以下一项(但不能超过一项)指定提取设置:
- 日志文件数据
- Kafka 主题
- 数据包数据 (pcap)
- Splunk 数据
- Syslog 数据
如需了解可与转发器搭配使用的端点,请参阅 Forwarder API 参考文档。
创建收集器
在 Google SecOps 账号中创建新的收集器。配置 收集器的值必须在使用 创建转发器。
对于某些设置 请求正文中缺失或为零值的值设为默认值 值。如需详细了解收集器配置字段和值,请参阅 收集器配置字段。
请求
POST https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors
请求正文
{
"display_name": string,
"config": {
object (CollectorConfig)
}
"state": enum
}
正文参数
| 字段 | 类型 | 必需 | 说明 |
|---|---|---|---|
| display_name | string | 必填 | 收集器的名称。此名称显示在 Google SecOps 中 界面。 |
| config | 对象 | 必填 | 此收集器的配置设置。请参阅收集器配置字段。 |
| state | 枚举 | 可选 | 指定收集器的当前状态。有效值包括:
|
请求示例
此示例显示了“创建收集器”请求中的必需键值对。对于 任何未提供的字段,在收集器期间会应用默认值 创建过程。
在此示例中,收集器类型为 file,因此收集器配置
包含 file_settings,用于指明收集器类型及其设置。如果
收集器类型为 syslog,则收集器配置包括
syslog_settings.如需了解详情,请参阅
收集器配置字段。
POST https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors
{
"display_name": "abc_collector",
"config" {
"log_type": "CS_EDR"
"file_settings": {
"file_path": "/opt/chronicle/edr/output/sample.txt",
}
}
}
响应
如果请求成功,则响应将返回 HTTP 状态代码 200 (确定)。
响应会显示创建 收集器。默认配置值适用于 如果在创建资源时缺少或生成零值,则会发生以下情况: 请求正文。有关详情,请参阅 收集器配置字段。
响应字段
除了请求中指定的字段和 默认值,则响应包括以下字段:
| 字段 | 类型 | 说明 |
|---|---|---|
| name | string | 收集器的资源 ID。格式为
"forwarders/{forwarderID}/collectors/{collectorID}".对于
示例:forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56 |
响应示例
这是针对上述请求示例返回的响应示例。
{
"name": "forwarders/12ab3cd4-56ef-7ghi-j89k-1l23m4nopq56/collectors/
98ab7cd6-54ef-3abc-d21e-1f23a4bcde56",
"displayName": "abc_collector",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
}
获取收集器
返回收集器。
请求
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}
请求正文
请勿包含请求正文。
请求示例
GET
https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
响应示例
{
"name": "?",
"displayName": "abc_collector",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
}
列出收集器
列出指定转发器的现有收集器。
请求
GET https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors
请求示例
GET https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors
响应
返回多个收集器。
响应示例
{
"collectors": [
{
"name": "?",
"displayName": "abc_collector_1",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
},
{
"name": "?",
"displayName": "abc_collector_2",
"config": {
"logType": "tomcat",
"maxSecondsPerBatch": "10",
"maxBytesPerBatch": "1048576"
}
}
]
}
更新收集器
使用 API 更新收集器时,您可以选择 覆盖整个收集器配置,或仅覆盖特定的 收集器配置的字段。通常情况下,最好覆盖 字段,这样可避免意外覆盖所有数据。覆盖 特定字段,请在您的更新请求中提供 FieldMask。
如需提供 FieldMask 来更新收集器的显示名称,请执行以下操作: 在补丁请求中提供 updateMask 网址查询参数。例如:
?updateMask=displayName
请求正文应仅包含您要更新的字段(在 用户的确切位置)。
请求
PATCH https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}?updateMask=<field_1,field_2>
请求正文
{
"display_name": string,
"config": {
object (CollectorConfig)
},
}
正文参数
| 字段 | 类型 | 必需 | 说明 |
|---|---|---|---|
| displayName | string | 必填 | 收集器的名称。此名称显示在 Google SecOps 中 界面。 |
| config | 对象 | 可选 | 此转发器的配置设置。请参阅收集器配置字段。 |
请求示例
这是 Update Collector 请求的示例,其中请求指定 displayName、logType、 assetNamespace 和 protocol 的新值。
PATCH https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56?updateMask=displayName,config.logType,config.metadata.assetNamespace,config.syslogSettings.protocol
{
"display_name": "UpdatedCollector"
"config": {
"metadata": {
"asset_namespace": "COLLECTOR",
},
"log_type": "CISCO_ASA_FIREWALL",
"syslog_settings": {
"protocol": "TCP",
}
}
}
响应示例
这是针对上述请求示例返回的响应示例。
{
"name": "forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56",
"displayName": "UpdatedCollector",
"config": {
"logType": "CISCO_ASA_FIREWALL",
"metadata": {
"assetNamespace": "COLLECTOR"
},
"maxSecondsPerBatch": 10,
"maxBytesPerBatch": "1048576",
"syslogSettings": {
"protocol": "TCP",
"address": "0.0.0.0",
"port": 10514,
}
},
"state": "ACTIVE"
}
删除收集器
删除收集器。
请求
DELETE https://backstory.googleapis.com/v2/forwarders/{forwarderID}/collectors/{collectorID}
请求正文
请勿包含请求正文。
请求示例
DELETE https://backstory.googleapis.com/v2/forwarders/12ab3cd4-56ef-7abc-d89e-1f23a4bcde56/collectors/98ab7cd6-54ef-3abc-d21e-1f23a4bcde56
响应示例
如果操作成功,Delete Collector 将返回包含 HTTP 状态代码 200 (OK) 的空响应。
{}
收集器配置字段
可以在请求的 config 对象中提供以下字段
正文。
| 字段 | 类型 | 必需 | 说明 |
|---|---|---|---|
| log_type | string | 必填 | 受支持的日志类型(可由 Google SecOps 注入的日志类型)。有关
Google SecOps 具有解析器的受支持日志类型,请参阅
“支持的”默认值中的“提取标签”列
解析器页面。要获得
如需查看受支持日志类型的完整列表,请使用 logtypes 端点。
|
| metadata.asset_namespace | 对象 | 可选 | 用于标识来自此收集器的日志的命名空间。 注意:这是一项全局设置,适用于 转发器和转发器的收集器,除非在 收集器级别的数据如需了解详情,请参阅配置命名空间。 |
| metadata.labels | list | 可选 | 可在
收集器配置。 注意:这是一项全局设置,适用于 转发器和转发器的收集器,除非在 收集器级别的数据 |
| metadata.labels.key | string | 可选 | 元数据标签列表中字段的键。 |
| metadata.labels.value | string | 可选 | 元数据标签列表中某个字段的值。 |
| regex_filters.description | string | 可选 | 描述遭到过滤的内容以及过滤原因。 |
| regex_filters.regexp | string | 可选 | 用于匹配每个传入行的正则表达式。 |
| regex_filters.behavior | 枚举 | 可选 | 指定服务器功能的状态。有效值 分别是:
|
| disk_buffer.state | 枚举 | 可选 | 指定收集器的磁盘缓冲状态。有效值包括:
|
| disk_buffer.directory_path | string | 可选 | 写入的文件的目录路径。 |
| disk_buffer.max_file_buffer_bytes | 整数 | 可选 | 最大缓冲文件大小。 |
| max_seconds_per_batch | 整数 | 可选 | 批次之间的秒数。 默认值为 10。 |
| max_bytes_per_batch | 整数 | 可选 | 在转发器批量上传之前排队的字节数。 默认值为 1048576。 |
| <collector_type>_settings.<fields> | 必填 | 指定收集器类型及其设置。每个收集器都必须指定一个收集器类型及其字段。例如,如需使用 file 收集器类型,必须将 file_settings.file_path 字段添加到配置中并为其指定一个值。例如:"file_settings": {此表的后续行中列出了收集器类型及其字段。可用的收集器类型包括:
|
|
| file_settings.file_path | string | 可选 | 要监控的文件的路径。 |
| kafka_settings.authentication.username | string | 可选 | 用于身份验证的身份的用户名。 |
| kafka_settings.authentication.password | string | 可选 | 由用户名标识的账号的密码。 |
| kafka_settings.topic | string | 可选 | 要从中注入数据的 Kafka 主题。如需了解详情,请参阅从 Kafka 主题收集数据。 |
| kafka_settings.group_id | string | 可选 | 群组 ID。 |
| kafka_settings.timeout | 整数 | 可选 | 拨号连接前等待的秒数上限
。 默认值为 60。 |
| kafka_settings.brokers | string | 可选 | 列出 Kafka Broker 的重复字符串。例如: “broker-1:9092”、“broker-2:9093” 注意:在更新操作期间,所有值都会被替换。因此, 更新代理列表以添加新的代理,请指定所有现有的 和新的中介。 |
| kafka_settings.tls_settings.certificate | string | 可选 | 路径和证书文件名。例如:/path/to/cert.pem |
| kafka_settings.tls_settings.certificate_key | string | 可选 | 路径和证书密钥文件名。例如:/path/to/cert.key |
| kafka_settings.tls_settings.minimum_tls_version | string | 可选 | 最低的 TLS 版本。 |
| kafka_settings.tls_settings.insecure_skip_verify | 布尔值 | 可选 | 如果为 true,则启用 SSL 认证验证。默认值为 false。 |
| pcap_settings.network_interface | string | 可选 | 用于监听 PCAP 数据的接口。 |
| pcap_settings.bpf | string | 可选 | pcap 的柏克莱封包过滤器 (BPF)。 |
| splunk_settings.authentication.username | string | 可选 | 用于身份验证的身份的用户名。 |
| splunk_settings.authentication.password | string | 可选 | 由用户名标识的账号的密码。 |
| splunk_settings.host | string | 可选 | Splunk REST API 的主机或 IP 地址。 |
| splunk_settings.port | 整数 | 可选 | Splunk REST API 的端口。 |
| splunk_settings.minimum_window_size | 整数 | 可选 | 给定 Splunk 搜索的最短时间范围(以秒为单位)。对于
有关详情,请参阅收集 Splunk 数据。 默认值为 10。 |
| splunk_settings.maximum_window_size | 整数 | 可选 | 指定 Splunk 搜索的最长时间范围(以秒为单位)。对于
有关详情,请参阅收集 Splunk 数据。 默认值为 30。 |
| splunk_settings.query_string | string | 可选 | 用于在 Splunk 中过滤记录的查询。 例如: search index=* sourcetype=dns |
| splunk_settings.query_mode | string | 可选 | Splunk 的查询模式。 例如: realtime |
| splunk_settings.cert_ignored | 布尔值 | 可选 | 如果值为 true,则忽略该证书。 |
| syslog_settings.protocol | 枚举 | 可选 | 指定收集器用于监听 Syslog 数据的协议。有效值包括:
|
| syslog_settings.address | string | 可选 | 收集器所在的目标 IP 地址或主机名,以及 监听 Syslog 数据。 |
| syslog_settings.port | 整数 | 可选 | 收集器驻留并监听 syslog 的目标端口 数据。 |
| syslog_settings.buffer_size | 整数 | 可选 | TCP 套接字缓冲区的大小(以字节为单位)。 TCP 的默认值为 65536。UDP 的默认值为 8192。 |
| syslog_settings.connecton_timeout | 整数 | 可选 | TCP 连接断开后处于非活动状态的秒数。 默认值为 60。 |
| syslog_settings.tls_settings.certificate | string | 可选 | 路径和证书文件名。例如:/path/to/cert.pem |
| syslog_settings.tls_settings.certificate_key | string | 可选 | 路径和证书密钥文件名。例如:/path/to/cert.key |
| syslog_settings.tls_settings.minimum_tls_version | string | 可选 | 最低的 TLS 版本。 |
| syslog_settings.tls_settings.insecure_skip_verify | 布尔值 | 可选 | 如果为 true,则启用 SSL 认证验证。默认值为 false。 |