Use Observability Pipelines’ Google Chronicle destination to send logs to Google Chronicle.

Setup

Set up the Google Chronicle destination and its environment variables when you set up a pipeline. The information below is configured in the pipelines UI.

Set up the destination

Observability Pipelines Worker for Google Chronicle を認証するには、Google Security Operations の担当者に連絡して Google Developer Service Account Credential を取得してください。このクレデンシャルは JSON ファイルであり、DD_OP_DATA_DIR/config に配置する必要があります。詳細については、API 認証情報の取得を参照してください。

Worker の Google Chronicle 宛先を設定するには、以下の手順を行います:

1. Google Chronicle インスタンスのカスタマー ID を入力します。
2. 先ほどダウンロードした資格情報 JSON ファイルへのパスを入力します。
3. ドロップダウンメニューで JSON または Raw エンコーディングを選択します。
4. ログタイプを入力します。ログの特定のフィールドに基づいて異なるログタイプに振り分けたい場合は、テンプレート構文を参照してください。

注: Google Chronicle 宛先に送信するログにはインジェスションラベルが必須です。たとえば、A10 ロードバランサーのログであれば、インジェスションラベルとして A10_LOAD_BALANCER を付与する必要があります。利用可能なログタイプと対応するインジェスションラベルの一覧については、Google Cloud のデフォルトパーサーでログタイプをサポートするを参照してください。

Set the environment variables

• Google Chronicle endpoint URL:
  • Stored in the environment variable: DD_OP_DESTINATION_GOOGLE_CHRONICLE_UNSTRUCTURED_ENDPOINT_URL.

How the destination works

Event batching

A batch of events is flushed when one of these parameters is met. See event batching for more information.