通过 Google Security Operations 界面管理转发器配置
本页介绍了如何使用 Google 安全运营界面 (UI) 创建、管理和下载转发器配置。您也可以使用 Forwarder Management API。
命名规则
本文档使用以下命名惯例:
- Google Security Operations Forwarder:已部署的软件组件。
- forwarder:转发器配置的简称(存储在 Google Security Operations 实例中)。
- collector:存储在 Google Security Operations 实例中的收集器配置的简称。
添加转发器
添加转发器是配置 Google Security Operations 转发器的第一步。 通过添加转发器,您可以执行以下操作:
- 为转发器配置命名。
- 指定转发器配置值。
添加新的转发器会创建部分完整的转发器配置。接收者 完成转发器配置后,您需要 添加收集器。 添加至少一个收集器后,您可以下载转发器 并将其部署到安装了 Google Security Operations Forwarder 的机器或设备上 已安装。
除了添加新的转发器,您还可以克隆一个或多个现有转发器, 。有关详情,请参阅 克隆转发器。
如需添加新的转发器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。
- 点击添加新的转发器。
- 在转发器名称字段中,输入名称。
可选:展开配置值部分,然后指定以下任意项:
- 上传压缩文件:选择是可在导出日志数据之前对其进行压缩 并上传到 Google Security Operations 中。默认值为 No。详细了解数据 请参见 压缩上传内容。
- 资产命名空间:输入用于标识 由该转发器收集除非您在收集器级别为收集器指定命名空间,否则此命名空间将应用于添加到此转发器的所有收集器。如果您同时在转发器级别和收集器级别指定命名空间,则对于来自该收集器的日志,将使用收集器的命名空间,而不是转发器的命名空间。如需详细了解资产命名空间,请参阅资产命名空间。
- 标签键和标签值:输入键和值。如果需要,您还可以点击添加新标签,添加一个或多个其他标签键值对。这是一个全局设置,适用于转发器和 转发器的收集器,除非它在收集器级别被替换。 有关详情,请参阅 标签。
- 过滤器说明、正则表达式和过滤器行为:
添加根据正则表达式过滤日志的过滤条件
(RE2 语法)与原始日志的每个传入行进行匹配。过滤器行为决定了在匹配后对传入行执行
allow
操作还是block
操作。 默认情况下(包括过滤条件行为为unspecified
时),匹配时的行为是block
传入行,然后继续评估下一行是否匹配。如需了解详情,请参阅 正则表达式过滤器。
(仅限 Syslog 收集)可选:将服务器设置切换为 配置转发器的内置 HTTP 服务器 为 syslog 配置负载均衡和高可用性选项 这个集合有关这些设置的详细信息,请参阅 针对 syslog 收集的 HTTP 服务器设置。
点击提交。
添加转发器,并显示 Add 收集器配置窗口。
在收集器名称字段中,输入一个名称。
点击日志类型字段以查看日志类型列表,然后执行以下任一操作:
- 如果您没有看到所需的日志类型,请在 以查看更多建议。如需查看所支持日志类型的完整列表, 请参阅 支持的数据集。
- 从列表中选择日志类型。
可选:展开配置值部分,并指定任意值 下列各项:
- 资产命名空间:输入一个用于标识此收集器收集的日志的命名空间。如果为收集器指定了命名空间,则该收集器的命名空间将用于该收集器的日志,而不是转发器的命名空间。如需详细了解资产命名空间 请参阅 资产命名空间。
- 标签键和标签值:输入键和值。如果需要 您也可以点击添加其他标签来添加一个或多个其他标签 键值对。对于此收集器的日志,此设置会覆盖标签 在转发器级别指定的。如需了解详情,请参阅标签。
- 过滤条件说明、正则表达式和过滤条件行为:添加过滤条件,以便根据正则表达式(RE2 语法)与原始日志的每个传入行匹配来过滤日志。过滤器行为决定了在匹配后对传入行执行
allow
操作还是block
操作。 默认情况下(包括过滤器行为为unspecified
时), 匹配时的行为是block
传入行,然后继续 评估下一行是否匹配。如需了解详情,请参阅 正则表达式过滤器。
可选:展开高级设置部分,然后指定以下任意项 以下:
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
10
。 - 每批字节数上限:在转发器之前排队的字节数
批量上传默认值为
1048576
。
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
可选:磁盘缓冲区:将切换开关设置为开启以启用磁盘 收集器正在缓冲数据如需详细了解磁盘缓冲, 请参阅磁盘缓冲。 启用后,您可以指定以下设置:
- Directory path:写入的文件的目录路径。
- 文件缓冲区字节数上限:在将积压的消息缓冲到磁盘之前,收集器使用的磁盘大小上限。默认值为
1073741824
。上限为4294967296
个。
点击收集器类型字段,然后选择收集器类型。每个 收集器类型有自己的设置供您配置了解详情 收集器类型及其设置,请参阅 收集器类型设置。
点击提交。
添加收集器
您可以向现有转发器添加一个或多个收集器。
通过添加收集器,您可以执行以下操作:
- 为收集器命名。
- 指定要收集的日志类型,例如 Pan Firewall、Cisco ASA 防火墙等
- 指定收集器类型:File、Kafka、PCAP、Splunk、Syslog 或 WebProxy。
- 指定收集器配置值。
在向转发器添加至少一个收集器后,您可以下载 转发器配置,并将其部署在 Google Security Operations 所在的机器或设备上 已安装转发器。
如需向转发器添加新的收集器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。
- 在转发器页面上,找到您要使用的转发器。如果转发器列表很长,请使用搜索字段。
- 将指针悬停在要为其添加收集器的转发器上。系统会显示 展开菜单图标。
- 点击 展开菜单图标。
- 选择添加新收集器。
- 在收集器名称字段中,输入一个名称。
点击日志类型字段以查看日志类型列表,然后执行以下任一操作:
- 如果您没有看到所需的日志类型,请在 以查看更多建议。如需查看所支持日志类型的完整列表, 请参阅 支持的数据集。
- 从列表中选择日志类型。
可选:展开配置值部分,并指定任意值 下列各项:
- 资产命名空间:输入用于标识 收集的所有信息如果为收集器指定了命名空间 对于 收集来自该收集器的日志如需详细了解资产命名空间 请参阅 资产命名空间。
- 标签键和标签值:输入键和值。如果需要 您也可以点击添加其他标签来添加一个或多个其他标签 键值对。对于此收集器的日志,此设置会覆盖标签 在转发器级别指定的。有关详情,请参阅 标签。
- 过滤器说明、正则表达式和过滤器行为:
添加根据正则表达式过滤日志的过滤条件
(RE2 语法)
与原始日志的每个传入行进行匹配。过滤器行为决定了在匹配时是
allow
还是block
传入行。默认情况下(包括过滤器行为为unspecified
时), 匹配时的行为是block
传入行,然后继续 评估下一行是否匹配。如需了解详情,请参阅正则表达式过滤条件。
可选:展开高级设置部分,然后指定以下任意设置:
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
10
。 - 每批字节数上限:在转发器之前排队的字节数
批量上传默认值为
1048576
。
- 每批最大秒数:两个批次之间的间隔秒数。默认值为
可选:磁盘缓冲区:将切换开关设置为开启以启用磁盘 收集器正在缓冲数据如需详细了解磁盘缓冲,请参阅磁盘缓冲。启用后,您可以指定以下设置:
- Directory path:写入的文件的目录路径。
- 文件缓冲区字节数上限:在将积压的消息缓冲到磁盘之前,收集器使用的磁盘大小上限。默认值为
1073741824
。上限为4294967296
个。
点击收集器类型字段,然后选择收集器类型。每种收集器类型都有自己的设置,您可以对其进行配置。如需详细了解收集器类型及其设置,请参阅收集器类型设置。
点击提交。
管理转发器
列出 Google Security Operations 实例中的转发器
如需列出 Google Security Operations 实例中的转发器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
- 可选:点击名称或上次更新时间列,对列表进行排序。
(可选)使用搜索字段缩小列表中的结果范围。
克隆转发器
通过克隆,您可以创建一个或多个转发器配置的副本。
如需克隆转发器,请按以下步骤操作:
在“转发器”页面上,选中您要克隆的每个转发器对应的复选框。
点击
展开菜单图标。选择克隆所选内容。
点击 Clone。系统会添加每个转发器的副本。
修改转发器配置
如需修改转发器配置,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
将指针悬停在要修改配置的转发器上。系统随即会显示
展开菜单图标。点击
展开菜单图标。选择修改转发器配置。
对配置进行更改。如需了解详情,请参阅添加转发器过程中的配置步骤。
点击提交。
删除转发器
如需删除转发器,请按以下步骤操作:
在“转发器”页面上,选中要删除的每个转发器对应的复选框。
点击
展开菜单图标。选择删除所选项。
点击删除所选项。
管理收集器
列出 Google Security Operations 实例中的收集器
如需列出 Google Security Operations 实例中的收集器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
- 点击名称列标题旁边的展开箭头。这会展开所有转发器,并为每个转发器最多显示五个收集器。
- 如果转发器的收集器超过五个,请点击查看所有收集器链接。
修改收集器配置
如需修改收集器配置,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
点击要修改收集器的转发器的
展开箭头。如果收集器超过 5 个,请点击查看所有收集器链接。
将指针悬停在要修改配置的收集器上。此时会显示修改链接。
点击修改。
更改配置。如需了解详情,请参阅添加收集器过程中的配置步骤。
点击提交。
删除收集器
如需删除收集器,请按以下步骤操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
点击要为其删除收集器的转发器的
展开箭头。如果收集器超过 5 个,请点击查看所有收集器链接。
将指针悬停在要修改配置的收集器上。此时会显示删除链接。
点击删除链接。
点击删除按钮进行确认。
下载配置文件
下载转发器至少需要一个收集器。如果您尝试下载没有收集器的转发器,则会收到错误消息。
只要您的 Google Security Operations 实例中列出的任何转发器至少有一个收集器,您就可以下载转发器配置 (.conf
) 文件和/或身份验证文件 (_auth.conf
)。下载文件后,您需要将其部署在 Google Security Operations Forwarder 所在的 Windows 或 Linux 系统上。
如需下载转发器配置文件,请执行以下操作:
- 在导航栏中,点击设置。
- 在“设置”下,点击转发器。该页面会显示转发器列表。
在转发器页面上,找到所需的转发器。如果 转发器较长,请使用搜索字段。
将指针悬停在要为其下载配置文件的转发器上。系统会显示
展开菜单图标。点击
展开菜单图标。选择下载。
在下载转发器配置对话框中,执行以下操作之一:
- 如需下载转发器配置文件,请点击
.conf
文件类型旁边的下载图标。 - 如需下载转发器身份验证文件,请点击
_auth.conf
文件类型旁边的下载图标。 - 如需下载这两个文件,请点击全部下载。
- 如需下载转发器配置文件,请点击
配置设置参考文档
转发器配置包含一个或多个收集器。
您可以在转发器级别配置以下设置:
您可以在转发器级别和 收集器级别。如需了解在 请参阅关于设置的部分。
您可以在收集器级别配置以下设置:
上传压缩文件
默认:启用
您可以为转发器配置上传压缩,但不可以为收集器配置。 启用此设置后,系统会在日志上传到 Google Security Operations 之前对其进行压缩。这样可以减少 Google Security Operations,不过,压缩可能会导致 CPU 使用率增加。
带宽和 CPU 使用率之间的权衡取决于许多因素,包括日志数据的类型、数据的可压缩性、运行转发器的主机上 CPU 周期的可用性以及减少网络带宽消耗的需要。例如,基于文本的日志具有良好的压缩效果, 以较低的 CPU 使用率大幅节省带宽。不过,经过加密 原始数据包的载荷无法很好地压缩,并且会导致 CPU 使用量增加。
资源命名空间
默认值:如果未指定,则该字段为空。
您可以为转发器和/或收集器配置资源命名空间。您 可以使用命名空间来识别来自不同网络段的日志 消除重叠的 IP 地址的冲突。您配置的所有命名空间都会显示 与 Google Security Operations 界面中的关联资产相关联。您还可以搜索 查找使用 Google Security Operations Search 功能的命名空间。
您可以为转发器指定命名空间,并且可以指定 为转发器的一个或多个收集器提供此属性。如果为命名空间指定了命名空间 收集器,系统将使用收集器的命名空间,而不是转发器的命名空间 来自该收集器的日志的命名空间。
如需了解如何使用命名空间,请参阅 资产命名空间。
标签
默认:如果未指定,则字段为空。
您可以为转发器和/或收集器配置标签。使用标签 使用键值对将任意元数据附加到日志。标签可以是 为整个转发器或 。如果同时提供了这两个标签,则标签将与收集器的键合并,而转发器的键会重叠(如果这两个键重叠)。
正则表达式过滤条件
默认:如果未指定,则字段为空。
您可以为转发器和/或收集器配置正则表达式过滤条件。通过正则表达式过滤器,您可以阻止或允许原始网页的 与表达式匹配的日志。
过滤条件使用 RE2 语法。
过滤条件必须包含正则表达式,并视需要定义匹配时的行为。匹配项的默认行为是阻止(您也可以明确将其配置为阻止)。
或者,您可以指定具有 allow 行为的过滤器。如果您指定了任何允许过滤器,则转发器会屏蔽与至少一个允许过滤器不匹配的任何日志。
您可以定义任意数量的过滤条件。块过滤器优先于允许过滤器。
定义过滤器时,必须为其指定名称。有效广告资源的名称 过滤器使用转发器运行状况指标向 Google Security Operations 报告。过滤条件 与在收集器定义的过滤器合并 。如果名称存在冲突,则收集器级别的过滤器优先。如果 转发器和收集器级别均未定义过滤器, 那就是全部允许
针对 Syslog 收集的 HTTP 服务器设置
Google Security Operations Forwarder 可以部署在 第 4 层负载均衡器安装在数据源和转发器之间 实例。这样,您就可以将日志收集 或者,如果一个转发器出现故障,则将日志发送给其他转发器。这个 只有 syslog 收集类型支持该功能。
转发器包括一个可响应 HTTP 的内置 HTTP 服务器 进行健康检查HTTP 服务器还有助于确保 日志在转发器启动或关闭期间不会丢失。
转发器配置中的服务器设置支持设置超时 为响应在 中收到的健康检查,而返回的时长和状态代码 容器调度器和基于编排的部署, 负载平衡器
使用以下网址进行运行状况、就绪性和活跃性检查。通过
<host:port>
值在转发器配置中定义。
- http://
<host:port>
/meta/available:容器的活跃性检查 Kubernetes 等调度器/编排器 - http://
<host:port>
/meta/ready:就绪性检查和传统负载均衡器健康检查。
设置 | 说明 |
---|---|
安全超时 | 在
转发器返回一个未读状态以响应健康检查。
这也是接收信号停止和停止之间的等待时间
实际上是开始关闭服务器本身。这样,
从池中移除转发器所需的负载均衡器时间。 有效值是以秒为单位的。例如,如需指定 10 秒,请输入 10.
不允许使用小数值。默认值:15 秒 |
排空超时 | 转发器等待活动连接的时间
在被
服务器。例如,如需指定 5 秒,请输入 5.
不允许使用小数值。默认值:10 秒 |
Port(端口) | HTTP 服务器用于监听健康检查的端口号
进行负载均衡器该值必须介于 1024-65535 之间。 默认值 :8080 |
IP 地址/主机名 | 服务器应监听的 IP 地址或可解析为 IP 地址的主机名。 默认值:0.0.0.0(本地系统) |
读取超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置允许的最长读取时间
包括标头和正文您可以同时设置读取超时字段和读取标头超时字段。 默认值:3 秒 |
读取标头超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置允许的最长读取时间
请求标头。连接的读取截止期限晚于
读取标头 默认值:3 秒 |
写入超时 | 用于微调 HTTP 服务器。通常保留默认设置即可,无需更改。允许的最长发送时间
响应。读取新请求标头时,此值会重置。 默认值:3 秒 |
空闲超时 | 用于微调 HTTP 服务器。通常无需更改
默认设置启用空闲连接后等待下一个请求的最长时间量。如果 idle
设置为 0,则 read
超时字段。如果两者都为零,则读取
标头超时 字段。 默认值:3 秒 |
可用状态代码 | 进行活跃性检查时,转发器返回的状态代码
且转发器可用。容器调度器和
Kubernetes 等编排系统通常会发送活跃性检查。 默认值:204 |
“准备就绪”状态代码 | 转发器在准备好接受时返回的状态代码
在以下任一情况下获得的流量:
|
“未就绪”状态代码 | 转发器在未准备好接受时返回的状态代码
流量。 默认值:503 |
日志类型
如需查看受支持日志类型的完整列表,请参阅 支持的数据集。
磁盘缓冲
磁盘缓冲允许您将积压的消息缓冲到磁盘,而不是内存。可存储积压的消息,以防转发器崩溃或底层主机崩溃。请注意,启用磁盘缓冲可能会影响 性能
如果停用磁盘缓冲,收集器会使用 1 GB 的内存 (RAM) 来 收集日志您可以使用最大文件缓冲区 收集器配置中的字节设置。这决定了收集器在将积压的消息缓冲到磁盘之前使用的最大 RAM 大小。通过 默认值为 1073741824。最大值为 4294967296。
如果您使用 Docker 运行转发器,Google 建议您将一个 将卷与配置卷分开,以实现隔离。此外,每个输入都应与其自己的目录或卷隔离,以避免冲突。
收集器类型设置
每个收集器配置都必须指定收集器类型。此部分 收集器类型及其设置
文件
使用 file
收集器类型可从单个日志文件上传日志。
字段 | 此类型的必填字段或选填字段 | 说明 |
---|---|---|
文件路径 | 必填 | 目录路径和文件名。例如:/opt/chronicle/edr/output/sample.txt |
Kafka
使用 kafka
收集器类型从 Kafka 主题注入数据。利用 Kafka 使用方组,您可以部署最多 3 个 Google Security Operations 转发器,以从同一 Kafka 主题中拉取数据。如需了解详情,请参阅
Kafka。
如需详细了解 Kafka 使用者群组,请参阅
Kafka Consumer。
字段 | 对于此类型是必填项或选填项 | 说明 |
---|---|---|
用户名 | 必填 | 用于身份验证的身份的用户名。 |
密码 | 必填 | 与用户名相关联的账号密码。 |
主题 | 必填 | 要从中注入数据的 Kafka 主题。 |
群组 ID | 必填 | 群组 ID。 |
超时 | 必填 | 拨号等待连接完成的最长秒数。 默认值 :60 |
经纪机构 | 可选 | 在文本框中输入一个经纪人。例如:broker-1:9092 点击添加其他以添加其他经纪人。 注意:更新期间所有值都会被替换 操作。因此,要更新代理列表,以添加新的 broker,请指定所有现有代理和新的代理。 |
TLS 证书 | 必填 | 路径和证书文件名。例如:/path/to/cert.pem |
TLS 证书密钥 | 必填 | 路径和证书密钥文件名。例如:/path/to/cert.key |
最低的 TLS 版本 | 必填 | 最低的 TLS 版本。 示例:TLSv1_3 |
TLS 不安全跳过验证 | 必填 | 启用 SSL 认证验证。 默认值:已停用 |
Pcap
本部分包含以下主题:
在 Windows 上使用 pcap
Google Security Operations 转发器可以直接从网络接口捕获数据包 在 Windows 系统中使用 Npcap。
请与 Google Security Operations 支持团队联系,更新您的 Google Security Operations 转发器配置文件以支持数据包捕获。
如需运行数据包捕获 (PCAP) 转发器,您需要以下各项:
- 在 Microsoft Windows 主机上安装 Npcap。
- 在 Windows 主机上,向 Google Security Operations 转发器授予 root 权限或管理员权限 监控网络接口的权限。
- 无需命令行选项。
- 安装 Npcap 时,启用 WinPcap 兼容模式。
在 Linux 上使用 pcap
使用 pcap
收集器类型可直接从网络捕获数据包
使用 libcap 在 Linux 上运行接口。如需详细了解 libcap,请参阅
libcap - Linux 手册页。
捕获数据包并将其发送到 Google Security Operations 而不是日志条目。只能从本地接口处理数据包捕获。
Google Security Operations 使用伯克利数据包过滤器 (BPF) 配置 Google Security Operations 转发器 捕获数据包时使用的表达式(例如,端口 53,而不是 localhost)。 如需了解详情,请参阅 Berkeley 数据包过滤器。
pcap 的收集器设置
相同的收集器配置设置适用于 Linux 或 Windows 主机。
字段 | 对于此类型是必填项或选填项 | 说明 |
---|---|---|
网络接口 | 必填 | 用于监听 PCAP 数据的接口。 注意:对于 Windows 主机,这是用于捕获数据包的接口的 GUID。如需获取此值,请运行以下命令: 在 Google Security Operations Forwarder 所在的机器上运行 getmac.exe 已安装(服务器或监听 span 的机器) 端口)。getmac.exe 输出以 \Device\Tcpip_ 开头。
将其替换为 \Device\NPF_ 。示例: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234} |
伯克利数据包过滤器 | 必填 | pcap 的柏克莱封包过滤器 (BPF)。 示例: udp port 53 |
Splunk
使用 splunk
收集器类型收集 Splunk 数据。
字段 | 对于此类型是必填项或选填项 | 说明 |
---|---|---|
用户名 | 必填 | 用于身份验证的身份的用户名。 |
密码 | 必填 | 由用户名标识的账号的密码。 |
主机 | 必填 | Splunk REST API 的主机或 IP 地址。 示例: https://10.0.113.15 |
端口 | 必填 | Splunk REST API 的端口。 |
窗口大小下限 | 必填 | 传递给 Splunk 查询的最短时间范围(以秒为单位)。这个
参数用于调优。
当转发器进入
稳定状态。此外,在出现延迟时,系统可能
进行过几次更新 默认值:10 |
窗口大小上限 | 必填 | 传递给 Splunk 查询的最长时间范围(以秒为单位)。如果出现延迟现象或者每个查询需要更多数据,则系统会使用此参数进行调整。 更改此参数(等于或大于) 最小值。如果执行 Splunk 查询调用, 用时超过窗口大小上限 注意: 在 Splunk 时, 服务器。查询的时间范围始终介于 最小和最大窗口参数。 默认值:30 |
查询字符串 | 必填 | 用于在 Splunk 中过滤记录的查询。 示例: search index=* sourcetype=dns |
查询模式 | 必填 | Splunk 的查询模式。 示例: realtime |
已忽略证书 | 可选 | 如果此政策已启用,系统会忽略该证书。 默认:停用 |
Syslog
使用 syslog
收集器类型来收集 Syslog 数据。您可以配置任何支持通过 TCP 或 UDP 连接发送 syslog 数据的设备或服务器,以将其数据转发到 Google 安全运营转发器。您可以控制
设备或服务器发送至 Google Security Operations 转发器的数据。然后,Google Security Operations 转发器可以将数据转发到 Google Security Operations。
字段 | 对于此类型是必填项或选填项 | 说明 |
---|---|---|
协议 | 必填 | 收集器用于监听 Syslog 数据的连接协议。有效值包括:
|
地址 | 必填 | 收集器所在的目标 IP 地址或主机名,以及 监听 Syslog 数据。 |
端口 | 必填 | 收集器驻留并监听 syslog 的目标端口 数据。 |
缓冲大小 | 必填 | 套接字缓冲区的大小(以字节为单位)。 TCP 的默认值为 65536。 UDP 的默认值为 8192。 |
连接超时 | 必填 | TCP 连接处于非活动状态的秒数
下降。 默认值:60 |
TLS 证书 | 必填 | 路径和证书文件名。例如:/path/to/cert.pem |
TLS 证书密钥 | 必填 | 路径和证书密钥文件名。例如:/path/to/cert.key |
最低的 TLS 版本 | 必填 | 最低的 TLS 版本。 示例: TLSv1_3 |
TLS 不安全跳过验证 | 必填 | 启用 SSL 认证验证。 默认:停用 |
WebProxy
除了在 Windows 上指定 Google SecOps 转发器的字段值之外,还需要在 Windows 计算机或设备上安装 Npcap 库。Linux 系统上的 Google SecOps 转发器不需要执行此操作。
字段 | 对于此类型是必填项或选填项 | 说明 |
---|---|---|
网络接口 | 必填 | 用于监听 Web 代理数据的接口。 |
伯克利数据包过滤器 | 必填 | Web 代理的柏克莱封包过滤器 (BPF)。 示例: udp port 53 |
问题排查
转发器未收到 Syslog 数据
确保收集器的 Syslog 设置已配置为使用正确的连接协议(TCP 或 UDP)来处理传入数据。如需了解详情,请参阅修改收集器。