Mengelola konfigurasi penerus melalui UI Chronicle

Halaman ini menjelaskan cara membuat, mengelola, dan mendownload konfigurasi penerus menggunakan antarmuka pengguna (UI) Chronicle. Anda juga dapat melakukan tugas ini secara terprogram menggunakan Forwarder Management API.

Konvensi penamaan

Dokumen ini menggunakan konvensi penamaan berikut:

  • Chronicle Forwarder: Komponen software yang di-deploy.
  • forwarder: Nama pendek untuk konfigurasi forwarder saat disimpan dalam instance Chronicle.
  • kolektor: Nama pendek untuk konfigurasi kolektor saat disimpan dalam instance Chronicle.

Tambahkan penerusan

Menambahkan forwarder adalah langkah pertama untuk mengonfigurasi Forwarder Chronicle. Menambahkan penerus memungkinkan Anda melakukan hal berikut:

  • Beri nama konfigurasi penerus.
  • Tentukan nilai konfigurasi penerus.

Menambahkan penerus baru akan membuat konfigurasi penerus yang lengkap sebagian. Untuk menyelesaikan konfigurasi forwarder, Anda perlu menambahkan kolektor. Setelah menambahkan setidaknya satu kolektor, Anda dapat mendownload konfigurasi forwarder dan men-deploy-nya di mesin atau perangkat tempat Chronicle Forwarder diinstal.

Daripada menambahkan penerusan baru, Anda dapat meng-clone satu atau beberapa penerusan yang ada. Untuk mengetahui detailnya, lihat Meng-clone penerus.

Untuk menambahkan penerusan baru, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan.
  3. Klik Tambahkan penerus baru.
  4. Di kolom Nama penerusan, ketik nama.

  5. Opsional: Luaskan bagian Configuration values dan tentukan salah satu nilai berikut:

    • Upload compression: Pilih Yes untuk mengompresi data log sebelum diupload ke Chronicle. Defaultnya adalah Tidak. Untuk detail tentang kompresi data, lihat Kompresi upload.
    • Name namespace: Ketik namespace yang mengidentifikasi log yang dikumpulkan oleh penerusan ini. Namespace ini akan diterapkan untuk semua kolektor yang ditambahkan ke penerusan ini, kecuali jika Anda menentukan namespace untuk kolektor di tingkat kolektor. Jika Anda menentukan namespace di tingkat penerusan dan tingkat kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut. Untuk informasi selengkapnya tentang namespace aset, lihat Ruang nama aset.
    • Kunci label dan Nilai label: Ketik kunci dan nilai. Jika diinginkan, Anda juga dapat mengklik Add new label untuk menambahkan satu atau beberapa key:value pair label tambahan. Ini adalah setelan global yang berlaku untuk kolektor forwarder dan forwarder, kecuali jika diganti di tingkat kolektor. Untuk mengetahui detailnya, lihat Label.
    • Deskripsi filter, Ekspresi reguler, dan Perilaku filter: Menambahkan filter yang memfilter log berdasarkan ekspresi reguler (sintaksis RE2) yang cocok dengan setiap baris masuk log mentah. Perilaku Filter menentukan apakah akan allow atau block baris masuk setelah kecocokan. Secara default, termasuk jika perilaku filter adalah unspecified, perilaku pada kecocokan adalah block baris masuk, lalu lanjutkan mengevaluasi baris berikutnya untuk kecocokan. Untuk mengetahui informasi selengkapnya, lihat Filter ekspresi reguler.

  6. (Khusus pengumpulan Syslog) Opsional: Alihkan Setelan server untuk mengonfigurasi server HTTP bawaan forwarder, yang dapat digunakan untuk mengonfigurasi opsi load balancing dan ketersediaan tinggi untuk pengumpulan syslog di Linux. Untuk mengetahui detail mengenai setelan ini, baca Setelan server HTTP untuk pengumpulan syslog.

  7. Klik Submit.

    Forwarder ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.

  8. Di kolom Nama kolektor, ketik nama.

  9. Klik kolom Log type untuk melihat daftar jenis log, dan lakukan salah satu hal berikut:

    • Jika Anda tidak melihat jenis log yang diinginkan, mulai ketik namanya di kotak untuk melihat saran lainnya. Untuk daftar lengkap jenis log yang didukung, lihat Set data yang didukung.
    • Pilih jenis log dari daftar.

  10. Opsional: Luaskan bagian Configuration values dan tentukan salah satu dari berikut ini:

    • Namespace aset: Ketik namespace yang mengidentifikasi log yang dikumpulkan oleh kolektor ini. Jika namespace ditentukan untuk kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut. Untuk informasi selengkapnya tentang namespace aset, lihat Ruang nama aset.
    • Kunci label dan nilai label: Ketik kunci dan nilai. Jika diinginkan, Anda juga dapat mengklik Add another untuk menambahkan satu atau beberapa key:value pair label tambahan. Untuk log kolektor ini, setelan ini akan mengganti label yang ditentukan pada tingkat penerus. Untuk mengetahui detailnya, lihat Label.
    • Deskripsi filter, Ekspresi reguler, dan Perilaku filter: Menambahkan filter yang memfilter log berdasarkan ekspresi reguler (sintaksis RE2) cocok dengan setiap baris masuk log mentah. Perilaku filter menentukan apakah akan allow atau block baris masuk setelah kecocokan. Secara default, termasuk jika perilaku filter adalah unspecified, perilaku pada kecocokan adalah block baris masuk, lalu lanjutkan mengevaluasi baris berikutnya untuk kecocokan. Untuk mengetahui informasi selengkapnya, lihat Filter ekspresi reguler.

  11. Opsional: Luaskan bagian Setelan lanjutan dan tentukan salah satu dari opsi berikut:

    • Waktu maksimum per batch: Jumlah detik di antara batch. Defaultnya adalah 10.
    • Jumlah byte maksimum per batch: Jumlah byte yang diantrekan sebelum upload batch forwarder. Defaultnya adalah 1048576.

  12. Opsional: Disk buffer: Setel tombol ke on untuk mengaktifkan buffering disk bagi kolektor. Untuk mengetahui detail tentang buffering disk, lihat Buffering disk. Jika diaktifkan, Anda dapat menentukan setelan berikut:

    • Jalur direktori: Jalur direktori untuk file yang ditulis.
    • Byte buffer file maksimum: Ukuran disk maksimum yang digunakan oleh kolektor sebelum pesan yang di-backlog di-buffer ke disk. Defaultnya adalah 1073741824. Maksimumnya adalah 4294967296.

  13. Klik kolom Jenis kolektor, lalu pilih jenis kolektor. Setiap jenis kolektor memiliki setelannya sendiri yang dapat Anda konfigurasi. Untuk mengetahui detail tentang jenis kolektor dan setelannya, lihat Setelan jenis kolektor.

  14. Klik Submit.

Tambahkan kolektor

Anda dapat menambahkan satu atau beberapa kolektor ke forwarder yang ada.

Dengan menambahkan kolektor, Anda dapat melakukan hal berikut:

  • Beri nama kolektor.
  • Tentukan jenis log yang akan dikumpulkan, seperti Pan Firewall, Cisco ASA Firewall, dan lainnya.
  • Tentukan jenis kolektor: File, Kafka, PCAP, Splunk, Syslog, atau WebProxy.
  • Menentukan nilai konfigurasi kolektor.

Setelah menambahkan setidaknya satu kolektor ke forwarder, Anda dapat mendownload konfigurasi penerusan dan men-deploy-nya di mesin atau perangkat tempat Chronicle Forwarder diinstal.

Untuk menambahkan kolektor baru ke forwarder, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan.
  3. Pada halaman Penerusan, cari penerus yang Anda inginkan. Jika daftar penerusan panjang, gunakan kolom Search.
  4. Arahkan kursor ke penerusan yang ingin Anda tambahkan kolektor. Ikon menu luaskan akan ditampilkan.
  5. Klik ikon luaskan menu.
  6. Pilih Tambahkan kolektor baru.
  7. Di kolom Nama kolektor, ketik nama.

  8. Klik kolom Log type untuk melihat daftar jenis log, dan lakukan salah satu hal berikut:

    • Jika Anda tidak melihat jenis log yang diinginkan, mulai ketik namanya di kotak untuk melihat saran lainnya. Untuk daftar lengkap jenis log yang didukung, lihat Set data yang didukung.
    • Pilih jenis log dari daftar.

  9. Opsional: Luaskan bagian Configuration values dan tentukan salah satu dari berikut ini:

    • Namespace aset: Ketik namespace yang mengidentifikasi log yang dikumpulkan oleh kolektor ini. Jika namespace ditentukan untuk kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut. Untuk informasi selengkapnya tentang namespace aset, lihat Ruang nama aset.
    • Kunci label dan nilai label: Ketik kunci dan nilai. Jika diinginkan, Anda juga dapat mengklik Add another untuk menambahkan satu atau beberapa key:value pair label tambahan. Untuk log kolektor ini, setelan ini akan mengganti label yang ditentukan pada tingkat penerus. Untuk mengetahui detailnya, lihat Label.
    • Deskripsi filter, Ekspresi reguler, dan Perilaku filter: Menambahkan filter yang memfilter log berdasarkan ekspresi reguler (sintaksis RE2) cocok dengan setiap baris masuk log mentah. Perilaku filter menentukan apakah akan allow atau block baris masuk setelah kecocokan. Secara default, termasuk jika perilaku filter adalah unspecified, perilaku pada kecocokan adalah block baris masuk, lalu lanjutkan mengevaluasi baris berikutnya untuk kecocokan. Untuk mengetahui informasi selengkapnya, lihat Filter ekspresi reguler.

  10. Opsional: Luaskan bagian Setelan lanjutan dan tentukan salah satu dari opsi berikut:

    • Waktu maksimum per batch: Jumlah detik di antara batch. Defaultnya adalah 10.
    • Jumlah byte maksimum per batch: Jumlah byte yang diantrekan sebelum upload batch forwarder. Defaultnya adalah 1048576.

  11. Opsional: Disk buffer: Setel tombol ke on untuk mengaktifkan buffering disk bagi kolektor. Untuk mengetahui detail tentang buffering disk, lihat Buffering disk. Jika diaktifkan, Anda dapat menentukan setelan berikut:

    • Jalur direktori: Jalur direktori untuk file yang ditulis.
    • Byte buffer file maksimum: Ukuran disk maksimum yang digunakan oleh kolektor sebelum pesan yang di-backlog di-buffer ke disk. Defaultnya adalah 1073741824. Maksimumnya adalah 4294967296.

  12. Klik kolom Jenis kolektor, lalu pilih jenis kolektor. Setiap jenis kolektor memiliki setelannya sendiri yang dapat Anda konfigurasi. Untuk mengetahui detail tentang jenis kolektor dan setelannya, lihat Setelan jenis kolektor.

  13. Klik Submit.

Kelola penerusan

Mencantumkan penerusan dalam instance Chronicle

Untuk mencantumkan penerusan dalam instance Chronicle, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
  3. Opsional: Urutkan daftar dengan mengklik kolom Nama atau Terakhir diperbarui.

Anda juga dapat menggunakan kolom penelusuran untuk mempersempit hasil dalam daftar.

Clone forwarder

Cloning memungkinkan Anda membuat salinan satu atau beberapa konfigurasi forwarder.

Untuk meng-clone penerusan, ikuti langkah-langkah berikut:

  1. Di halaman Forwarder, centang kotak untuk setiap penerus yang ingin Anda clone.

  2. Klik ikon luaskan menu.

  3. Pilih Clone dipilih.

  4. Klik Clone. Salinan setiap penerusan akan ditambahkan.

Mengedit konfigurasi penerus

Untuk mengedit konfigurasi penerus, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.

  3. Tahan kursor ke atas penerusan yang konfigurasinya ingin Anda edit. Ikon menu luaskan akan ditampilkan.

  4. Klik ikon luaskan menu.

  5. Pilih Edit konfigurasi penerusan.

  6. Buat perubahan pada konfigurasi. Untuk informasi selengkapnya, lihat langkah konfigurasi dalam prosedur menambahkan penerusan.

  7. Klik Submit.

Hapus penerus

Untuk menghapus penerusan, ikuti langkah-langkah berikut:

  1. Di halaman Penerusan, centang kotak untuk setiap penerusan yang ingin Anda hapus.

  2. Klik ikon luaskan menu.

  3. Pilih Hapus yang dipilih.

  4. Klik Hapus yang dipilih.

Mengelola kolektor

Mencantumkan kolektor di instance Chronicle

Untuk mencantumkan kolektor dalam instance Chronicle, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.
  3. Klik panah luaskan di samping judul kolom Name. Ini memperluas semua forwarder, menampilkan hingga lima kolektor untuk setiap forwarder.
  4. Jika forwarder memiliki lebih dari lima kolektor, klik link Lihat semua kolektor.

Mengedit konfigurasi kolektor

Untuk mengedit konfigurasi kolektor, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.

  3. Klik panah peluas dari penerusan yang ingin Anda edit kolektornya.

  4. Jika ada lebih dari lima kolektor, klik link Lihat semua kolektor.

  5. Arahkan kursor ke kolektor yang konfigurasinya ingin Anda edit. Link Edit akan ditampilkan.

  6. Klik Edit.

  7. Buat perubahan pada konfigurasi. Untuk informasi selengkapnya, lihat langkah konfigurasi dalam prosedur menambahkan kolektor.

  8. Klik Submit.

Menghapus kolektor

Untuk menghapus kolektor, ikuti langkah-langkah berikut:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.

  3. Klik panah peluas dari penerusan yang ingin Anda hapus kolektornya.

  4. Jika ada lebih dari lima kolektor, klik link Lihat semua kolektor.

  5. Arahkan kursor ke kolektor yang konfigurasinya ingin Anda edit. Link Delete akan muncul.

  6. Klik tautan Hapus.

  7. Untuk mengonfirmasi, klik tombol Delete.

Download file konfigurasi

Mendownload forwarder memerlukan setidaknya satu kolektor. Jika Anda mencoba mendownload penerusan tanpa kolektor, Anda akan mendapatkan pesan error.

Anda dapat mendownload file konfigurasi penerus (.conf), file autentikasi (_auth.conf), atau keduanya, untuk semua penerusan yang tercantum dalam instance Chronicle selama file tersebut memiliki setidaknya satu kolektor. Setelah mendownload file, Anda harus men-deploy file tersebut di sistem Windows atau Linux tempat Chronicle Forwarder berada.

Untuk mendownload file konfigurasi penerus:

  1. Pada menu navigasi, klik Settings.
  2. Di bagian Setelan, klik Penerusan. Halaman ini menampilkan daftar penerusan.

  3. Pada halaman Penerusan, cari penerus yang Anda inginkan. Jika daftar penerusan panjang, gunakan kolom Search.

  4. Arahkan kursor ke penerusan yang ingin Anda download file konfigurasinya. Ikon menu luaskan akan ditampilkan.

  5. Klik ikon luaskan menu.

  6. Pilih Download.

  7. Dalam dialog Konfigurasi penerusan download, lakukan salah satu langkah berikut:

    • Untuk mendownload file konfigurasi penerus, klik ikon download di samping jenis file .conf.
    • Untuk mendownload file autentikasi penerus, klik ikon download di samping jenis file _auth.conf.
    • Untuk mendownload kedua file, klik Download semua.

Referensi setelan konfigurasi

Konfigurasi penerusan mencakup satu atau beberapa kolektor.

Anda dapat mengonfigurasi setelan berikut di tingkat penerus:

Anda dapat mengonfigurasi setelan berikut di tingkat forwarder dan tingkat kolektor. Untuk memahami hasil konfigurasi setelan di kedua level, lihat bagian untuk setelan.

Anda dapat mengonfigurasi setelan berikut di tingkat kolektor:

Kompresi upload

Default: Aktif

Anda dapat mengonfigurasi kompresi upload untuk forwarder, tetapi tidak untuk kolektor. Jika diaktifkan, setelan ini akan mengompresi log sebelum diupload ke Chronicle. Tindakan ini akan mengurangi penggunaan bandwidth jaringan selama transfer ke Chronicle. Namun, kompresi dapat menyebabkan peningkatan penggunaan CPU.

Konsekuensi antara bandwidth dan penggunaan CPU bergantung pada banyak faktor, termasuk jenis data log, kompresi data tersebut, ketersediaan siklus CPU pada host yang menjalankan forwarder, dan kebutuhan untuk mengurangi konsumsi bandwidth jaringan. Misalnya, log berbasis teks dikompresi dengan baik dan dapat memberikan penghematan bandwidth yang signifikan dengan penggunaan CPU yang rendah. Namun, payload paket mentah terenkripsi tidak dikompresi dengan baik dan menimbulkan penggunaan CPU yang lebih tinggi.

Namespace aset

Default: Kolom kosong jika tidak ditentukan.

Anda dapat mengonfigurasi namespace aset untuk forwarder, kolektor, atau keduanya. Anda dapat menggunakan namespace untuk mengidentifikasi log dari segmen jaringan yang berbeda dan mengatasi konflik alamat IP yang tumpang-tindih. Setiap namespace yang Anda konfigurasi akan muncul dengan aset terkait di antarmuka pengguna Chronicle. Anda juga dapat menelusuri namespace menggunakan fitur Chronicle Search.

Anda dapat menentukan namespace untuk forwarder dan menentukan namespace berbeda untuk satu atau beberapa kolektor forwarder. Jika namespace ditentukan untuk kolektor, namespace kolektor akan digunakan, bukan namespace penerusan untuk log dari kolektor tersebut.

Untuk informasi tentang penggunaan namespace, lihat Namespace aset.

Label

Default: Kolom kosong jika tidak ditentukan.

Anda dapat mengonfigurasi label untuk forwarder, kolektor, atau keduanya. Label digunakan untuk melampirkan metadata arbitrer ke log dengan menggunakan key pair dan value pair. Label dapat dikonfigurasi untuk seluruh forwarder atau dalam kolektor spesifik penerusan. Jika keduanya disediakan, label akan digabungkan dengan kunci kolektor yang lebih diutamakan daripada kunci penerusan jika kunci tersebut tumpang-tindih.

Filter ekspresi reguler

Default: Kolom kosong jika tidak ditentukan.

Anda dapat mengonfigurasi filter ekspresi reguler untuk forwarder, kolektor, atau keduanya. Filter ekspresi reguler memungkinkan Anda memblokir atau mengizinkan baris masuk log mentah yang cocok dengan ekspresi.

Filter menggunakan sintaksis RE2.

Filter harus menyertakan ekspresi reguler dan, secara opsional, menentukan perilaku jika ada kecocokan. Perilaku default pada pencocokan adalah blok (Anda juga dapat mengonfigurasinya secara eksplisit sebagai blok).

Atau, Anda dapat menentukan filter dengan perilaku allow. Jika Anda menentukan filter izinkan, penerus akan memblokir semua log yang tidak cocok dengan setidaknya satu filter izin.

Anda dapat menetapkan jumlah filter yang arbitrer. Filter blokir lebih diprioritaskan daripada filter izinkan.

Saat filter ditentukan, filter harus diberi nama. Nama filter aktif dilaporkan ke Chronicle dengan menggunakan metrik kondisi penerusan. Filter yang ditentukan pada tingkat penerusan digabungkan dengan filter yang ditentukan pada tingkat kolektor. Filter tingkat kolektor akan diprioritaskan jika nama bertentangan. Jika tidak ada filter yang ditentukan di tingkat forwarder atau kolektor, perilakunya adalah mengizinkan semua.

Setelan server HTTP untuk pengumpulan syslog

Chronicle Forwarder dapat di-deploy di lingkungan tempat load balancer Lapisan 4 diinstal antara instance sumber data dan penerusan. Dengan begitu, Anda dapat mendistribusikan koleksi log ke beberapa penerus atau mengirim log ke penerus yang berbeda jika salah satu gagal. Fitur ini hanya didukung dengan jenis koleksi syslog.

Forwarder menyertakan server HTTP bawaan yang merespons health check HTTP dari load balancer. Server HTTP juga membantu memastikan bahwa log tidak hilang selama startup atau shutdown forwarder.

Setelan server dalam konfigurasi forwarder mendukung penyetelan durasi waktu tunggu dan kode status yang ditampilkan sebagai respons terhadap health check yang diterima dalam penjadwal container dan deployment berbasis orkestrasi, serta dari load balancer tradisional.

Gunakan jalur URL berikut untuk pemeriksaan kesehatan, kesiapan, dan keaktifan. Nilai <host:port> ditentukan dalam konfigurasi penerus.

  • http://<host:port>/meta/available: pemeriksaan keaktifan untuk penjadwal/orkestrasi container, seperti Kubernetes.
  • http://<host:port>/meta/siap: pemeriksaan kesiapan dan health check load balancer tradisional.
Setelan Deskripsi
Waktu tunggu tuntas Jumlah waktu saat koneksi baru masih diterima setelah forwarder menampilkan status belum dibaca sebagai respons terhadap health check. Ini juga merupakan waktu untuk menunggu antara menerima sinyal untuk berhenti dan benar-benar memulai penonaktifan server itu sendiri. Hal ini memungkinkan waktu load balancer untuk menghapus penerusan dari kumpulan.

Nilai yang valid dalam hitungan detik. Misalnya, untuk menentukan 10 detik, ketik 10. Nilai desimal tidak diizinkan.

Default: 15 detik
Waktu tunggu pengosongan Lamanya waktu tunggu hingga koneksi aktif berhasil ditutup sendiri sebelum ditutup oleh server. Misalnya, untuk menentukan 5 detik, ketik 5. Nilai desimal tidak diizinkan.

Default: 10 detik
Port Nomor port yang diproses server HTTP untuk health check dari load balancer. Nilai harus antara 1024-65535.

Default: 8080
Alamat IP/nama host Alamat IP, atau nama host yang dapat di-resolve menjadi alamat IP, yang harus dipantau oleh server.

Default: 0.0.0.0 (sistem lokal)
Waktu tunggu baca habis Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Jumlah waktu maksimum yang diizinkan untuk membaca seluruh permintaan, baik header maupun isi. Anda dapat menetapkan kolom read timeout dan kolom read header timeout.

Default: 3 detik
Waktu tunggu header baca Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Jumlah waktu maksimum yang diizinkan untuk membaca header permintaan. Batas waktu operasi baca koneksi diatur ulang setelah membaca header.

Default: 3 detik
Waktu tunggu penulisan Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Durasi maksimum yang diizinkan untuk mengirim respons. Fungsi ini direset saat header permintaan baru dibaca.

Default: 3 detik
Waktu tunggu tidak ada aktivitas Digunakan untuk menyesuaikan server HTTP. Biasanya, tidak perlu diubah dari setelan default. Jumlah waktu maksimum untuk menunggu permintaan berikutnya saat koneksi tidak ada aktivitas diaktifkan. Jika kolom idle timeout ditetapkan ke nol, nilai kolom read timeout akan digunakan. Jika keduanya nol, kolom read header timeout akan digunakan.

Default: 3 detik
Kode status yang tersedia Kode status yang ditampilkan penerus saat pemeriksaan keaktifan diterima dan penerusan tersedia. Penjadwal dan orkestrasi container, seperti Kubernetes, sering mengirim pemeriksaan keaktifan.

Default: 204
Kode status siap Kode status yang ditampilkan penerusan pengirim jika sudah siap menerima traffic dalam salah satu situasi berikut:
  • Pemeriksaan kesiapan diterima dari penjadwal atau orkestrasi container, seperti Kubernetes.
  • Health check diterima dari load balancer tradisional.
Default: 204
Kode status belum dibaca Kode status yang ditampilkan pengirim jika belum siap menerima traffic.

Default: 503

Jenis log

Untuk daftar lengkap jenis log yang didukung, lihat Set data yang didukung.

Buffering disk

Dengan buffering disk, Anda dapat mem-buffer pesan yang di-backlog ke disk, bukan ke memori. Pesan backlog dapat disimpan jika terjadi error forwarder atau host yang mendasarinya mengalami error. Perlu diketahui bahwa mengaktifkan buffering disk dapat memengaruhi performa.

Jika buffering disk dinonaktifkan, kolektor akan menggunakan memori (RAM) 1 GB untuk log yang dikumpulkannya. Anda dapat menentukan nilai maksimum menggunakan setelan Max file buffer bytes dalam konfigurasi kolektor. Hal ini menentukan ukuran RAM maksimum yang digunakan oleh kolektor sebelum pesan backlog di-buffer ke disk. Nilai defaultnya adalah 1073741824. Maksimumnya adalah 4294967296.

Jika Anda menjalankan forwarder menggunakan Docker, Google merekomendasikan pemasangan volume yang terpisah dari volume konfigurasi untuk tujuan isolasi. Selain itu, setiap input harus diisolasi dengan direktori atau volumenya sendiri untuk menghindari konflik.

Setelan jenis kolektor

Setiap konfigurasi kolektor harus menentukan jenis kolektor. Bagian ini menjelaskan jenis kolektor dan setelannya.

File

Gunakan jenis kolektor file untuk mengupload log dari satu file log.

Kolom Kolom wajib atau opsional untuk jenis ini Deskripsi
Jalur file Diperlukan Jalur direktori dan nama file. Contoh:


/opt/chronicle/edr/output/sample.txt

Kafka

Gunakan jenis kolektor kafka untuk menyerap data dari topik Kafka. Grup konsumen Kafka dimanfaatkan agar Anda dapat men-deploy hingga tiga Forwarder Chronicle untuk menarik data dari topik Kafka yang sama. Untuk informasi selengkapnya, lihat Kafka. Untuk mengetahui informasi selengkapnya tentang grup konsumen Kafka, lihat Konsumen Kafka.

Kolom Wajib atau opsional untuk jenis ini Deskripsi
Nama pengguna Diperlukan Nama pengguna identitas yang digunakan untuk autentikasi.
Sandi Diperlukan Sandi akun yang terkait dengan nama pengguna.
Topik Diperlukan Topik Kafka tempat menyerap data.
ID Grup Diperlukan ID grup.
Timeout Diperlukan Jumlah detik maksimum panggilan akan menunggu hingga koneksi selesai.

Default: 60
Broker Opsional Masukkan broker di kotak teks. Contoh:


broker-1:9092


Klik Add another untuk menambahkan broker lain.

Catatan: Semua nilai diganti selama operasi update. Oleh karena itu, untuk memperbarui daftar broker guna menambahkan broker baru, tentukan semua broker yang ada dan broker baru.
Sertifikat TLS Diperlukan Nama file jalur dan sertifikat. Contoh:


/path/to/cert.pem

Kunci sertifikat TLS Diperlukan Nama file jalur dan kunci sertifikat. Contoh:


/path/to/cert.key

Versi TLS minimum Diperlukan Versi TLS minimum.

Contoh: TLSv1_3
Lewati verifikasi TLS tidak aman Diperlukan Mengaktifkan verifikasi sertifikasi SSL.

Default: dinonaktifkan

Penutup

Bagian ini membahas topik berikut:

Menggunakan pcap di Windows

Forwarder Chronicle dapat menangkap paket langsung dari antarmuka jaringan menggunakan Npcap di sistem Windows.

Hubungi Dukungan Chronicle untuk memperbarui file konfigurasi penerusan Chronicle agar dapat mendukung pengambilan paket.

Untuk menjalankan forwarder Packet Capture (PCAP), Anda memerlukan hal berikut:

  • Instal Npcap di host Microsoft Windows.
  • Di host Windows, berikan hak istimewa administrator atau root forwarder Chronicle untuk memantau antarmuka jaringan.
  • Opsi command line tidak diperlukan.
  • Saat penginstalan Npcap, aktifkan mode kompatibilitas WinPcap.
Menggunakan pcap di Linux

Gunakan jenis kolektor pcap untuk mengambil paket langsung dari antarmuka jaringan menggunakan libcap di Linux. Untuk informasi lebih lanjut tentang libcap, lihat libcap—halaman manual Linux.

Paket diambil dan dikirim ke Chronicle, bukan entri log. Pengambilan paket hanya ditangani dari antarmuka lokal.

Chronicle mengonfigurasi forwarder Chronicle dengan ekspresi Berkeley Packet Filter (BPF) yang digunakan saat mengambil paket (misalnya, port 53 dan bukan localhost). Untuk informasi selengkapnya, lihat Filter paket Berkeley.

Setelan kolektor untuk pcap

Setelan konfigurasi kolektor yang sama berlaku untuk host Linux atau Windows.

Kolom Wajib atau opsional untuk jenis ini Deskripsi
Antarmuka jaringan Diperlukan Antarmuka yang akan dipantau untuk data PCAP.

Catatan: Untuk host Windows, ini adalah GUID untuk antarmuka yang digunakan untuk menangkap paket. Untuk mendapatkan nilai ini, jalankan getmac.exe di komputer tempat Chronicle Forwarder diinstal (server atau mesin yang memproses di port span). Output getmac.exe dimulai dengan \Device\Tcpip_. Ganti ini dengan \Device\NPF_.

Contoh:


\Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

Filter paket Berkeley Diperlukan Berkeley Packet Filter (BPF) untuk pcap.

Contoh: udp port 53

Splunk

Gunakan jenis kolektor splunk untuk mengumpulkan data Splunk.

Kolom Wajib atau opsional untuk jenis ini Deskripsi
Nama pengguna Diperlukan Nama pengguna identitas yang digunakan untuk autentikasi.
Sandi Diperlukan Sandi akun yang diidentifikasi oleh nama pengguna.
Host Diperlukan Host atau alamat IP untuk Splunk REST API.

Contoh: https://10.0.113.15
Port Diperlukan Port Splunk REST API.
Ukuran jendela minimum Diperlukan Rentang waktu minimum dalam detik yang diteruskan ke kueri Splunk. Parameter ini digunakan untuk menyesuaikan jika persyaratannya adalah untuk mengubah frekuensi kueri server Splunk saat forwarder dalam status stabil. Selain itu, jika terjadi keterlambatan, panggilan API Splunk dapat dilakukan beberapa kali.

Default: 10
Ukuran jendela maksimum Diperlukan Rentang waktu maksimum dalam detik yang diteruskan ke kueri Splunk. Parameter ini digunakan untuk menyesuaikan jika terjadi keterlambatan atau jika diperlukan lebih banyak data per kueri.

Ubah parameter ini (sama dengan atau lebih besar dari) saat Anda mengubah parameter minimum. Kasus keterlambatan dapat terjadi jika panggilan kueri Splunk memerlukan waktu lebih lama dari ukuran jendela maksimum.

Catatan: Rentang waktu tidak pernah tumpang-tindih saat kueri server Splunk dikueri. Rentang waktu yang dikueri selalu antara parameter periode minimum dan maksimum.

Default: 30
String kueri Diperlukan Kueri yang digunakan untuk memfilter catatan dalam Splunk.

Contoh: search index=* sourcetype=dns
Mode kueri Diperlukan Mode kueri untuk Splunk.

Contoh: realtime
Sertifikat diabaikan Opsional Jika diaktifkan, sertifikat akan diabaikan.

Default: dinonaktifkan

{i>Syslog<i}

Gunakan jenis kolektor syslog untuk mengumpulkan data syslog. Anda dapat mengonfigurasi alat atau server apa pun yang mendukung pengiriman data syslog melalui koneksi TCP atau UDP untuk meneruskan datanya ke Chronicle Forwarder. Anda dapat mengontrol data persis yang dikirim peralatan atau server ke Chronicle Forwarder. Chronicle Forwarder kemudian dapat meneruskan data ke Chronicle.

Kolom Wajib atau opsional untuk jenis ini Deskripsi
Protocol Diperlukan Protokol koneksi yang akan digunakan kolektor untuk mendengarkan data {i>syslog<i}. Nilai yang valid adalah:

  • TCP
  • UDP
Alamat Diperlukan Alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
Port Diperlukan Port target tempat kolektor berada dan memproses data syslog.
Ukuran buffer Diperlukan Ukuran buffer soket dalam byte.

Default untuk TCP adalah 65536.
Nilai default untuk UDP adalah 8192.
Waktu tunggu koneksi habis Diperlukan Jumlah detik tidak aktif setelah koneksi TCP diputus.

Default: 60
Sertifikat TLS Diperlukan Nama file jalur dan sertifikat. Contoh:


/path/to/cert.pem

Kunci sertifikat TLS Diperlukan Nama file jalur dan kunci sertifikat. Contoh:


/path/to/cert.key

Versi TLS minimum Diperlukan Versi TLS minimum.

Contoh: TLSv1_3
Lewati verifikasi TLS tidak aman Diperlukan Mengaktifkan verifikasi sertifikasi SSL.

Default: dinonaktifkan

WebProxy

Selain menentukan nilai kolom yang ditampilkan di bawah, untuk Chronicle Forwarder di Windows, instal library Npcap di komputer atau perangkat Windows. Hal ini tidak diperlukan untuk Chronicle Forwarder di sistem Linux.

Kolom Wajib atau opsional untuk jenis ini Deskripsi
Antarmuka jaringan Diperlukan Antarmuka yang akan dipantau untuk data proxy web.
Filter paket Berkeley Diperlukan Berkeley Packet Filter (BPF) untuk proxy web.

Contoh: udp port 53

Pemecahan masalah

Data {i>syslog<i} tidak diterima oleh penerus

Pastikan setelan syslog kolektor dikonfigurasi agar menggunakan protokol koneksi (TCP atau UDP) yang benar untuk data yang masuk. Untuk informasi selengkapnya, lihat Mengedit kolektor.