Observability Pipelines の Google Chronicle Destination を使用して、ログを Google Chronicle に送信します。

セットアップ

パイプラインをセットアップする 際に、Google Chronicle Destination とその環境変数を設定します。以下の情報は Pipelines UI で構成します。

Destination を設定する

Observability Pipelines Worker for Google Chronicle を認証するには、Google Security Operations の担当者に連絡して Google Developer Service Account Credential を取得してください。このクレデンシャルは JSON ファイルであり、DD_OP_DATA_DIR/config に配置する必要があります。詳細については、API 認証情報の取得を参照してください。

Worker の Google Chronicle 宛先を設定するには、以下の手順を行います:

1. Google Chronicle インスタンスのカスタマー ID を入力します。
2. 先ほどダウンロードした資格情報 JSON ファイルへのパスを入力します。
3. ドロップダウンメニューで JSON または Raw エンコーディングを選択します。
4. ログタイプを入力します。ログの特定のフィールドに基づいて異なるログタイプに振り分けたい場合は、テンプレート構文を参照してください。

注: Google Chronicle 宛先に送信するログにはインジェスションラベルが必須です。たとえば、A10 ロードバランサーのログであれば、インジェスションラベルとして A10_LOAD_BALANCER を付与する必要があります。利用可能なログタイプと対応するインジェスションラベルの一覧については、Google Cloud のデフォルトパーサーでログタイプをサポートするを参照してください。

環境変数を設定する

• Google Chronicle endpoint URL:
  • Stored in the environment variable: DD_OP_DESTINATION_GOOGLE_CHRONICLE_UNSTRUCTURED_ENDPOINT_URL.

Destination の動作

イベントのバッチ処理

以下のいずれかのパラメーターを満たすと、イベントのバッチがフラッシュされます。詳細は イベントのバッチ処理 を参照してください。