Auf dieser Seite wird beschrieben, wie Sie Weiterleitungs-Konfigurationen über die Google SecOps-Benutzeroberfläche erstellen, verwalten und herunterladen.
Die Forwarder-Konfiguration erfolgt in zwei Schritten:
Weiterleitungs-Konfiguration hinzufügen: Damit wird das Framework für Ihre Konfiguration festgelegt.
Collector-Konfiguration hinzufügen: Hier wird die Datenquelle definiert, aus der der Forwarder Daten aufnimmt. Ohne mindestens einen Collector hat der Forwarder keine Daten, mit denen er arbeiten kann.
Nachdem Sie einen oder mehrere Collectors hinzugefügt haben, ist die Forwarder-Konfiguration abgeschlossen. Anschließend können Sie sie herunterladen und auf einem Computer oder Gerät bereitstellen, auf dem die Forwarder-Software installiert ist.
Informationen zum Installieren und Konfigurieren des Google SecOps-Forwarders, zu den Systemanforderungen und zu den Konfigurationseinstellungen finden Sie unter Forwarder installieren und konfigurieren.
Forwarder-Konfiguration hinzufügen
Anstatt einen neuen Forwarder hinzuzufügen, können Sie einen oder mehrere vorhandene Forwarder klonen. Weitere Informationen finden Sie unter Forwarder klonen.
So fügen Sie einen neuen Weiterleiter hinzu:
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter Einstellungen auf Weiterleitungen.
Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
Geben Sie im Feld Name des Weiterleitungsdienstes einen Namen ein.
Optional: Maximieren Sie den Abschnitt Konfigurationswerte und geben Sie die Werte an. Informationen zu den Konfigurationseinstellungen finden Sie unter Konfiguration festlegen.
Klicken Sie auf Senden.
Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
Collector-Konfiguration hinzufügen
Sie können einem vorhandenen Forwarder einen oder mehrere Collectors hinzufügen. So fügen Sie einem Forwarder einen neuen Collector hinzu:
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen.
Suchen Sie auf der Seite Weiterleitungen nach der gewünschten Weiterleitung. Wenn die Liste der Weiterleitungsadressen lang ist, verwenden Sie das Feld Suchen.
Bewegen Sie den Mauszeiger auf den Forwarder, dem Sie einen Collector hinzufügen möchten. Das more_vertSymbol zum Maximieren des Menüs wird angezeigt.
Klicken Sie auf das more_vertSymbol zum Maximieren des Menüs.
Wählen Sie Neuen Collector hinzufügen aus.
Geben Sie im Feld Name des Collectors einen Namen ein.
Klicken Sie auf das Feld Log-Typ, um eine Liste der Log-Typen aufzurufen, und führen Sie einen der folgenden Schritte aus:
Wenn der gewünschte Logtyp nicht angezeigt wird, geben Sie den Namen in das Feld ein, um weitere Vorschläge zu sehen. Eine vollständige Liste der unterstützten Logtypen finden Sie unter Unterstützte Datasets.
Wählen Sie einen Logtyp aus der Liste aus.
Optional: Maximieren Sie den Abschnitt Konfigurationswerte und geben Sie die Werte an. Informationen zu den Konfigurationseinstellungen finden Sie unter Konfiguration festlegen.
Optional: Maximieren Sie den Abschnitt Erweiterte Einstellungen und geben Sie Folgendes an:
Max. Sekunden pro Batch:Die Anzahl der Sekunden zwischen den Batches. Der Standardwert ist 10.
Maximale Anzahl von Byte pro Batch:Die Anzahl der Byte, die vor dem Upload des Forwarder-Batches in der Warteschlange stehen. Der Mindestwert ist 204800 bytes, was 200 KB entspricht.
Der Höchstwert ist 1048576 bytes, also 1MB. Der Standardwert ist
1,048,576 bytes, also 1MB.
Empfohlen: Festplattenpuffer:Klicken Sie auf den Schalter, um die Festplattenpufferung für den Collector zu aktivieren. Weitere Informationen zur Pufferung von Festplatten finden Sie unter Pufferung von Festplatten.
Wenn die Option aktiviert ist, können Sie die folgenden Einstellungen angeben:
Verzeichnispfad:Der Verzeichnispfad für geschriebene Dateien.
Maximale Größe der gepufferten Datei (in Bytes): Die maximale Festplattengröße, die vom Collector verwendet wird, bevor zurückgestellte Nachrichten auf der Festplatte zwischengespeichert werden. Der Standardwert ist 1,073,741,824.
Es sind höchstens 4,294,967,296 zulässig.
Optional: Zeitzone überschreiben: Klicken Sie auf den Schalter, um die Standardzeitzone für Ihre Logs zu überschreiben. Wählen Sie dazu eine benutzerdefinierte Zeitzone aus der Liste Zeitzone aus.
nur, wenn Ihre Rohlogs an der Quelle nicht die richtige Zeitzone enthalten. Achten Sie darauf, dass die Logs konsistente Zeitstempel haben, bevor Sie die Funktion aktivieren.
Die ausgewählte Zeitzone wird serverseitig in Google SecOps angewendet. Der Forwarder ignoriert diese Einstellung, auch wenn sie in der generierten Konfigurationsdatei enthalten ist.
Klicken Sie auf das Feld Collector-Typ und wählen Sie einen Collector-Typ aus. Jeder Collector-Typ hat eigene Einstellungen, die Sie konfigurieren können. Weitere Informationen zu den Collector-Typen und ihren Einstellungen finden Sie unter Konfiguration festlegen.
Klicken Sie auf Senden.
Konfigurationsdateien herunterladen
Zum Herunterladen der Forwarder-Konfigurationsdateien ist mindestens ein Collector erforderlich. Wenn Sie versuchen, einen Forwarder ohne Collector herunterzuladen, wird eine Fehlermeldung angezeigt.
Sie können die Datei mit der Forwarder-Konfiguration (.conf), die Datei mit der Authentifizierung (_auth.conf) oder beide für jeden Forwarder herunterladen, der in Ihrer Google SecOps-Instanz aufgeführt ist, sofern er mindestens einen Collector hat. Nachdem Sie die Dateien heruntergeladen haben, stellen Sie sie auf dem Windows- oder Linux-System bereit, auf dem sich der Google SecOps-Forwarder befindet.
So laden Sie Forwarder-Konfigurationsdateien herunter:
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen. Auf der Seite wird die Liste der Weiterleitungsadressen angezeigt.
Suchen Sie auf der Seite Weiterleitungen nach der gewünschten Weiterleitung. Wenn die Liste der Weiterleitungsadressen lang ist, verwenden Sie das Feld Suchen.
Bewegen Sie den Mauszeiger auf den Forwarder, für den Sie Konfigurationsdateien herunterladen möchten. Das more_vertSymbol zum Maximieren des Menüs wird angezeigt.
Klicken Sie auf das more_vertSymbol zum Maximieren des Menüs.
Klicken Sie auf Herunterladen.
Führen Sie im Dialogfeld Forwarder-Konfiguration herunterladen einen der folgenden Schritte aus:
Wenn Sie die Forwarder-Konfigurationsdatei herunterladen möchten, klicken Sie neben dem Dateityp .conf auf das Downloadsymbol.
Wenn Sie die Datei zur Weiterleitung der Authentifizierung herunterladen möchten, klicken Sie neben dem Dateityp _auth.conf auf das Downloadsymbol.
Wenn Sie beide Dateien herunterladen möchten, klicken Sie auf Alle herunterladen.
Weiterleitungen verwalten
In diesem Abschnitt wird beschrieben, wie Sie Weiterleitungen aufrufen und verwalten.
Weiterleitungen in einer Google SecOps-Instanz auflisten
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen. Auf der Seite wird die Liste der Weiterleitungsadressen angezeigt.
Optional: Sie können die Liste sortieren, indem Sie auf die Spalte Name oder Zuletzt aktualisiert klicken.
Sie können optional das Suchfeld verwenden, um die Ergebnisse in der Liste einzugrenzen.
Forwarder klonen
Durch das Klonen können Sie eine Kopie einer oder mehrerer Forwarder-Konfigurationen erstellen.
So klonen Sie eine Forwarder-Konfiguration:
Klicken Sie auf der Seite „Weiterleitungen“ das Kästchen für jede Weiterleitung an, die Sie klonen möchten.
Klicken Sie auf das more_vertSymbol zum Maximieren des Menüs.
Wählen Sie Klonen aus.
Klicken Sie auf Klonen. Eine Kopie jeder Weiterleitungskonfiguration wird hinzugefügt.
Forwarder-Konfiguration bearbeiten
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen. Auf der Seite wird die Liste der Weiterleitungsadressen angezeigt.
Bewegen Sie den Mauszeiger auf den Forwarder, dessen Konfiguration Sie bearbeiten möchten. Das more_vertSymbol zum Maximieren des Menüs wird angezeigt.
Klicken Sie auf das more_vertSymbol zum Maximieren des Menüs.
Wählen Sie Forwarder-Konfiguration bearbeiten aus.
Nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Weitere Informationen finden Sie in den Konfigurationsschritten im Verfahren zum Hinzufügen von Weiterleitungen.
Klicken Sie auf Aktualisieren.
Forwarder löschen
Klicken Sie auf der Seite „Weiterleitungen“ das Kästchen für jede Weiterleitung an, die Sie löschen möchten.
Klicken Sie auf das more_vertSymbol zum Maximieren des Menüs.
Wählen Sie Löschen aus.
Klicken Sie im Dialogfeld „Weiterleitung löschen“ auf Löschen.
Collectors verwalten
In diesem Abschnitt wird beschrieben, wie Sie Collectors aufrufen und verwalten.
Collectors in einer Google SecOps-Instanz auflisten
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen. Auf der Seite wird die Liste der Weiterleitungsadressen angezeigt.
Klicken Sie auf den Erweiterungspfeil neben der Spaltenüberschrift Name. Dadurch werden alle Forwarder maximiert und für jeden Forwarder werden bis zu fünf Collectors angezeigt.
Wenn ein Weiterleitungsunternehmen mehr als fünf Erfasser hat, klicken Sie auf den Link Alle Erfasser ansehen.
Collector-Konfiguration bearbeiten
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen. Auf der Seite wird die Liste der Weiterleitungsadressen angezeigt.
Klicken Sie auf den arrow_right-Pfeil des Forwarders, für den Sie einen Collector bearbeiten möchten.
Wenn es mehr als fünf Erfasser gibt, klicken Sie auf den Link Alle Erfasser ansehen.
Bewegen Sie den Mauszeiger auf den Collector, dessen Konfiguration Sie bearbeiten möchten. Die Option Bearbeiten wird angezeigt.
Klicken Sie auf Bearbeiten.
Nehmen Sie die gewünschten Änderungen an der Konfiguration vor. Weitere Informationen finden Sie in den Konfigurationsschritten im Verfahren zum Hinzufügen von Collectors.
Klicken Sie auf Aktualisieren.
Collector löschen
Klicken Sie in der Navigationsleiste auf Einstellungen.
Klicken Sie unter „Einstellungen“ auf Weiterleitungen. Auf der Seite wird die Liste der Weiterleitungsadressen angezeigt.
Klicken Sie auf den arrow_rightAufklapppfeil des Forwarders, für den Sie einen Collector löschen möchten.
Wenn es mehr als fünf Erfasser gibt, klicken Sie auf den Link Alle Erfasser ansehen.
Bewegen Sie den Mauszeiger auf den Collector, dessen Konfiguration Sie bearbeiten möchten. Die Option Löschen wird angezeigt.
Klicken Sie auf Löschen.
Klicken Sie zur Bestätigung im Dialogfeld „Sammlung löschen“ auf Löschen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eForwarder configurations are managed through the Google Security Operations UI, requiring creation or recreation via the UI or API to utilize management features.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring a forwarder involves two steps: establishing the forwarder framework, and adding at least one collector to define the data source.\u003c/p\u003e\n"],["\u003cp\u003eThe UI allows users to add, clone, edit, and delete forwarders, as well as manage collectors, which involves defining the source of data for ingestion.\u003c/p\u003e\n"],["\u003cp\u003eOnce configured with at least one collector, forwarder configuration files can be downloaded for deployment on machines with the forwarder software.\u003c/p\u003e\n"],["\u003cp\u003eCollectors can be configured with advanced settings such as batch timing, batch size, disk buffering, and other settings specific to the selected log and collector types.\u003c/p\u003e\n"]]],[],null,["# Manage forwarder configurations through the UI\n==============================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** Forwarder configuration files **not** created with the Google Security Operations UI or the forwarder management API cannot be managed with the Google SecOps UI. You need to re-create those configurations using the Google SecOps UI or the forwarder management API to take advantage of the forwarder management features.\n\nThis page describes how to create, manage, and download forwarder configurations\nusing the Google SecOps user interface (UI).\n\nForwarder configuration is a two-step process:\n\n1. Add forwarder configuration: This establishes the framework for your configuration.\n2. Add collector configuration: This defines the source of data that the forwarder will ingest. Without at least one collector, the forwarder does not have any data to work with.\n\nOnce you've added one or more collectors, the forwarder configuration is complete. You can then download it and deploy it onto a machine or device that has the forwarder software installed.\n\nFor information about how to install and configure the Google SecOps forwarder,\nsystem requirements, and details about configuration settings, see [Install and configure the forwarder](/chronicle/docs/install/install-forwarder).\n\nAdd forwarder configuration\n---------------------------\n\nInstead of *adding* a new forwarder, you can *clone* one or more existing\nforwarders. For details, see [Clone forwarders](#clone-forwarders).\n\nTo add a new forwarder, follow these steps:\n\n1. In the navigation bar, click **Settings**.\n2. Under **Settings** , click **Forwarders**.\n3. Click **Add new forwarder**.\n4. In the **Forwarder name** field, type a name.\n5. Optional: Expand the **Configuration values** section and specify the values. For information about the configuration settings, see [Determine the configuration](/chronicle/docs/install/install-forwarder#determinedata).\n\n6. Click **Submit**.\n\n The forwarder is added and **Add collector configuration** window appears.\n\nAdd collector configuration\n---------------------------\n\nYou can add one or more collectors to an existing forwarder. To add a new collector to a forwarder, follow these steps:\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**.\n3. On the **Forwarders** page, find the forwarder you want. If the list of forwarders is long, use the **Search** field.\n4. Hold the pointer over the forwarder for which you want to add a collector. The more_vert **expand menu icon** displays.\n5. Click the more_vert **expand menu icon**.\n6. Select **Add new collector**.\n7. In the **Collector name** field, type a name.\n8. Click the **Log type** field to view a list of log types, and do one of\n the following:\n\n - If you don't see the log type you want, start typing its name in the box to view more suggestions. For a complete list of supported log types, see [Supported data sets](/chronicle/docs/supported-datasets).\n - Select a log type from the list.\n9. Optional: Expand the **Configuration values** section and specify the values. For information about the configuration settings, see [Determine the configuration](/chronicle/docs/install/install-forwarder#determinedata).\n\n10. Optional: Expand the **Advanced settings** section and specify any of\n the following:\n\n - **Max seconds per batch:** The number of seconds between batches. The default is `10`.\n - **Max bytes per batch:** The number of bytes queued before the forwarder batch upload. The minimum is `204800 bytes`, which is `200 KB`. The maximum is `1048576 bytes`, which is `1MB`. The default is `1,048,576 bytes`, which is `1MB`.\n11. Recommended: **Disk buffer:** Set the toggle to **on** to enable disk\n buffering for the collector. For details about disk buffering,\n see [Disk buffering](/chronicle/docs/install/install-forwarder#diskbuffering).\n When enabled, you can specify the following settings:\n\n - **Directory path:** The directory path for files written.\n - **Maximum Buffered File Size (in bytes):** The maximum disk size used by the collector before backlogged messages are buffered to disk. The default is `1,073,741,824`. The maximum is `4,294,967,296`.\n12. Click the **Collector type** field and select a collector type. Each\n collector type has its own settings that you can configure. For details\n about the collector types and their settings, see\n [Determine the configuration](/chronicle/docs/install/install-forwarder#determinedata).\n\n13. Click **Submit**.\n\nDownload configuration files\n----------------------------\n\nDownloading the forwarder configuration files requires at least one collector. If you try to download a forwarder without a collector, you get an error.\n\nYou can download the forwarder configuration (`.conf`) file, authentication (`_auth.conf`) file, or both, for any forwarder listed in your Google SecOps instance as long as it has at least one collector. After downloading the files, deploy them on the Windows or Linux system where the Google SecOps forwarder resides.\n\nTo download forwarder configuration files:\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**. The page displays the list of forwarders.\n3. On the **Forwarders** page, find the forwarder you want. If the list of\n forwarders is long, use the **Search** field.\n\n4. Hold the pointer over the forwarder for which you want to download configuration files. The more_vert **expand menu icon** displays.\n\n5. Click the more_vert **expand menu icon**.\n\n6. Select **Download**.\n\n7. In the **Download forwarder configuration** dialog, do one of the following:\n\n - To download the forwarder configuration file, click the **download icon** next to the **`.conf`** file type.\n - To download the forwarder authentication file, click the **download icon** next to the **`_auth.conf`** file type.\n - To download both files, click **Download all**.\n\nManage forwarders\n-----------------\n\n### List the forwarders in a Google SecOps instance\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**. The page displays the list of forwarders.\n3. Optional: Sort the list by clicking the **Name** or **Last updated** column.\n\nOptionally, use the search field to narrow the results in your list.\n\n### Clone forwarders\n\nCloning lets you create a copy of one or more forwarder configurations.\n\nTo clone a forwarder configuration, follow these steps:\n\n1. On the Forwarders page, select the checkbox for each forwarder that you want to clone.\n\n2. Click the more_vert **expand menu icon**.\n\n3. Select **Clone**.\n\n4. Click **Clone**. A copy of each forwarder configuration is added.\n\n### Edit a forwarder configuration\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**. The page displays the list of forwarders.\n3. Hold the pointer over the forwarder for which you want to edit the configuration. The more_vert **expand menu icon** displays.\n\n4. Click the more_vert **expand menu icon**.\n\n5. Select **Edit forwarder configuration**.\n\n6. Make your changes to the configuration. For more information, see the configuration steps in the procedure for [adding forwarders](#add-forwarders).\n\n7. Click **Update**.\n\n### Delete forwarders\n\n1. On the Forwarders page, select the checkbox for each forwarder that you want to delete.\n\n2. Click the more_vert **expand menu icon**.\n\n3. Select **Delete**.\n\n4. In the Delete Forwarder dialog, click **Delete**.\n\nManage collectors\n-----------------\n\n### List the collectors in a Google SecOps instance\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**. The page displays the list of forwarders.\n3. Click the expander arrow next to the **Name** column heading. This expands all of the forwarders, displaying up to five collectors for each forwarder.\n4. If a forwarder has more than five collectors, click the **See all collectors** link.\n\n### Edit a collector configuration\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**. The page displays the list of forwarders.\n3. Click the arrow_right expander arrow of the forwarder for which you want to edit a collector.\n\n4. If there are more than five collectors, click the **See all collectors** link.\n\n5. Hold the pointer over the collector for which you want to edit the configuration. The **Edit** option displays.\n\n6. Click **Edit**.\n\n7. Make your changes to the configuration. For more information, see the configuration steps in the procedure for [adding collectors](#add-collectors).\n\n8. Click **Update**.\n\n### Delete a collector\n\n1. In the navigation bar, click **Settings**.\n2. Under Settings, click **Forwarders**. The page displays the list of forwarders.\n3. Click the arrow_right**expander arrow** of the forwarder for which you want to delete a collector.\n\n4. If there are more than five collectors, click the **See all collectors** link.\n\n5. Hold the pointer over the collector for which you want to edit the configuration. The **Delete** option displays.\n\n6. Click **Delete**.\n\n7. To confirm, click **Delete** in the Delete collector dialog.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
