Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

在 GitHub 中使用社区解析器

支持：

Google SecOps SIEM

Google Security Operations 利用 GitHub 上的开源代码库，让社区、合作伙伴和客户能够协作开发和维护解析器。借助此代码库，社区贡献者可以扩展和维护 Google SecOps 的可用解析器集。

目标

支持社区贡献：允许外部用户、合作伙伴和客户贡献新的和更新的社区解析器。
促进采用：为用户提供一种机制，以便将社区解析器纳入其自定义解析器实例。
确保质量：维护严格的审核和测试框架，以便在发布之前验证所有贡献的安全性和功能质量。

准备工作

确保您拥有 chronicle.parsers.create 权限，该权限是 chronicle.admin IAM 角色的一部分。
如需为社区解析器做出贡献，请签署贡献者许可协议 (CLA)。如需了解完整详情，请参阅签署我们的贡献者许可协议。

代码库结构

所有解析器都整理在 GitHub 代码库的 Content Hub 区域中的顶级 parsers/ 目录下。每个日志源都有自己的专用子目录。

content-hub/
└── content/
    └── parsers/
        ├── third_party/
        │   ├── community/
        │   │   ├── VENDOR1_PRODUCT1/cbn/
        │   │   └── VENDOR2_PRODUCT2/cbn/
        │   ├── partnerA/
        │   │   └── VENDOR1_PRODUCT1/cbn/
        │   └── partnerB/
        │        └── VENDOR1_PRODUCT1/cbn/
        ...

文件夹命名惯例

third_party/community/parser 代码库中所有子目录的文件夹命名惯例都有严格的定义。这些标准可确保系统兼容性、客户可发现性，并与 Google SecOps 内部惯例保持一致。

在 GitHub 中创建社区解析器

以下部分详细介绍了如何创建和管理社区解析器。

查找和下载社区解析器

前往所需的日志类型文件夹。
查看 metadata.json 文件，检查是否存在与解析器支持的日志源相关的引用。
下载 parser.conf 文件，其中包含 CBN 语法中的核心解析器逻辑。

在 Google SecOps 中部署社区解析器

以下步骤介绍了如何将社区解析器复制并转换为您自己的自定义解析器实例。部署后，解析器将作为您维护的自定义解析器运行。

在您的 Google SecOps 实例中，将下载的文件的内容上传或粘贴到 parser.conf SIEM 设置 中的 创建解析器 页面上的相应字段中。

验证自定义解析器

在 Google SecOps 实例中部署解析器后，系统会自动触发内置的自定义解析器验证，以检查是否存在潜在的流水线失败或规范化问题。如果这些验证失败，您必须修复解析器逻辑或修改解析器的副本，使其与您的特定应用场景保持一致。我们建议您将更正或增强功能贡献回社区代码库，并积极参与开源社区。

如需详细了解如何在 GitHub 中贡献新解析器或更新现有解析器，请参阅 GitHub 解析器说明。

如果您在集成方面遇到任何问题，请在 GitHub 中提交工单。