Opciones de configuración del protocolo Apache Kafka

IBM QRadar utiliza el protocolo Apache Kafka para leer corrientes de datos de sucesos de temas de un clúster Kafka que utiliza la API de consumidor. Un tema es una categoría o un nombre de canal de información en Kafka donde se almacenan y publican los mensajes. El protocolo Apache Kafka es un protocolo de salida o activo y se puede utilizar como origen de registro de pasarela utilizando un tipo de origen de registro personalizado.

El protocolo Apache Kafka da soporte a temas de casi cualquier escala. Puede configurar varios hosts de colección de QRadar (EP/EC) para recopilar de un solo tema; por ejemplo, todos los cortafuegos. Para obtener más información, consulte la Documentación deKafka (http://kafka.apache.org/documentation/).

La tabla siguiente describe los parámetros específicos del protocolo Apache Kafka :
Tabla 1. Apache Kafka
Parámetro Descripción
Identificador de origen de registro

Escriba un nombre exclusivo para el origen de registro.

El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. También puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro Apache Kafka configurado, asegúrese de que asigna a cada uno un nombre exclusivo.
Lista de servidores de programa de arranque El < nombre_host/ip>: < puerto> del servidor (o servidores) de rutina de carga. Se pueden especificar varios servidores en una lista separada por comas, como en este ejemplo: hostname1:9092,1.1.1.1:9092.
Grupo de consumidores

Una serie o etiqueta exclusiva que identifica el grupo de consumidores al que pertenece este origen de registro.

Cada registro que se publica en un tema Kafka se entrega a una instancia de consumidor dentro de cada grupo de consumidores suscrito. Kafka utiliza estas etiquetas para equilibrar la carga de los registros en todas las instancias de consumidor de un grupo.
Método de suscripción de tema El método que se utiliza para suscribirse a los temas de Kafka . Utilice la opción Listar temas para especificar una lista específica de temas. Utilice la opción Coincidencia de patrón de expresión regular para especificar una expresión regular que coincida con los temas disponibles.
Lista de temas

Una lista de nombres de tema a los que suscribirse. La lista debe estar separada por comas; por ejemplo: Topic1,Topic2,Topic3

Esta opción sólo se visualiza cuando se selecciona Listar temas para la opción Método de suscripción de tema .
Patrón de filtro de tema

Una expresión regular para coincidir con los temas a los que suscribirse.

Esta opción sólo se visualiza cuando se selecciona Coincidencia de patrón de expresión regular para la opción Método de suscripción de tema .
Utilizar autenticación SASL

Esta opción muestra las opciones de configuración de autenticación SASL.

Cuando se utiliza sin autenticación de cliente, debe colocar una copia del certificado de servidor en el directorio /opt/qradar/conf/trusted_certificates/ .
Mecanismo SASL Seleccione el mecanismo SASL que sea compatible con la configuración de Kafka :
  • PLAIN
  • SCRAM-SHA-256
  • SCRAM-SHA-512
Nombre de usuario de SASL El nombre de usuario que se utiliza para la autenticación SASL.
Contraseña SASL La contraseña que se utiliza para la autenticación SASL.
Utilizar SSL Seleccione esta opción para habilitar el cifrado SSL (TLS) si la configuración de Kafka lo admite o lo requiere.
Utilizar autenticación de cliente Muestra las opciones de configuración de autenticación de cliente.

Puede habilitar esta opción sólo si habilita el parámetro Utilizar SSL y utiliza SSL (TLS) para la autenticación y la transferencia de datos.
Almacén de claves/Tipo de almacén de confianza
El formato del archivo de archivado para el almacén de claves y el tipo de almacén de confianza. Las opciones siguientes están disponibles para el formato de archivo de archivado:
  • JKS
  • PKCS12
Nombre de archivo de almacén de confianza El nombre del archivo de almacén de confianza. El almacén de confianza se debe colocar en /opt/qradar/conf/trusted_certificates/kafka/.

El archivo contiene el nombre de usuario y la contraseña.
Nombre de archivo de almacén de claves El nombre del archivo de almacén de claves. El almacén de claves debe colocarse en /opt/qradar/conf/trusted_certificates/kafka/.

El archivo contiene el nombre de usuario y la contraseña.
Utilizar como origen de registro de pasarela Esta opción permite que los sucesos recopilados pasen por el motor de QRadar Traffic Analysis y detecten automáticamente los orígenes de registro adecuados.
Patrón de identificador de origen de registro

Define un identificador de origen de registro personalizado para los sucesos que se están procesando, si el recuadro de selección Utilizar como origen de registro de pasarela está seleccionado.

Los pares de clave-valor se utilizan para definir el identificador de origen de registro personalizado. La clave es la serie de formato de identificador, que es el origen o valor de origen resultante. El valor es el patrón de expresión regular asociado que se utiliza para evaluar la carga útil actual. Este valor también da soporte a grupos de captura que se pueden utilizar para personalizar más la clave.

Se definen varios pares de clave-valor escribiendo cada patrón en una nueva línea. Se evalúan varios patrones en el orden en que se listan. Cuando se encuentra una coincidencia, se visualiza un identificador de origen de registro personalizado.

Los ejemplos siguientes muestran varias funciones de pares de clave-valor.
Patrones
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Sucesos
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Identificador de origen de registro personalizado resultante
VPC-ACCEPT-Correcto
Mostrar opciones avanzadas Mostrar opciones avanzadas opcionales para la configuración de Kafka . Los valores de opción avanzada están en vigor tanto si se muestran como si no.
Utilizar extracción de carga útil

Habilite este parámetro para extraer la carga útil y enviarla al conducto de sucesos. Este parámetro identifica la carga útil especificada si está en algún lugar dentro de los registros de anotaciones cronológicas de Kafka .

Se pueden definir varias expresiones regulares especificando cada patrón en una línea nueva. Cuando se utilizan varios patrones de extracción de carga útil, se evalúan en orden hasta que se encuentra una coincidencia y se puede devolver una carga útil extraída.

Esta extracción de carga útil se produce antes de cualquier sustitución de caracteres.
Expresión regular de extracción de carga útil Expresión regular que identifica la carga útil especificada en los registros de anotaciones de Kafka para que se pueda enviar a QRadar. Esta expresión debe incluir un grupo de captura y utiliza el primer grupo de captura como la nueva carga útil.
Utilizar análisis predictivo

Si habilita este parámetro, un algoritmo extrae patrones de identificador de origen de registro y extrae cargas útiles de sucesos sin ejecutar la expresión regular para cada suceso, lo que aumenta la velocidad de análisis.

En circunstancias excepcionales, el algoritmo puede realizar predicciones incorrectas. Habilite el análisis predictivo sólo para los tipos de origen de registro que espera que reciban tasas de sucesos altas y que requieran un análisis más rápido.
Sustitución de secuencia de caracteres Sustituye secuencias de caracteres literales específicas que están en la carga útil de sucesos por caracteres reales. Están disponibles una o varias de las opciones siguientes:
  • Carácter de nueva línea (CR LF) (\r \n)
  • Carácter de salto de línea (\n)
  • Carácter de retorno de carro (\r)
  • Carácter de tabulación (\t)
  • Carácter de espacio (\s)
  • Anular escape de datos JSON
    Sugerencia: Seleccione esta opción si desea que toda la carga útil sea JSON sin escape después de cualquier extracción de carga útil. Cuando se anulan los mensajes JSON de escape, cualquier carácter que impida el análisis se elimina del mensaje.

    Habilite esta opción cuando desee extraer mensajes JSON que están incorporados en objetos JSON.
Kafka Sustitución de propiedades de consumidor

Una lista de pares key=value que se pueden utilizar para proporcionar propiedades de configuración específicas al consumidor Kafka . La lista utiliza un par por línea.

Por ejemplo, el key=value par session.timeout.ms=10000 configura el tiempo de espera de sesión en milisegundos.

Para obtener una lista de los pares key=value disponibles, consulte la documentación de configuración del consumidor deKafka (https://ibm.biz/kafkaconsumerconfigs).

Los parámetros especificados en este campo alteran temporalmente los parámetros anteriores establecidos durante la fase de configuración del origen de registro. Estos parámetros incluyen, a título enunciativo y no limitativo, los siguientes ejemplos:
  • fetch.max.bytes
  • group.id
  • ssl.enabled.protocols
No puede especificar ninguna propiedad de tipo de contraseña con valores de secreto en este campo. Estas propiedades incluyen, a título enunciativo y no limitativo, los ejemplos siguientes:
  • ssl.key.password
  • ssl.key.password
  • ssl.keystore.password
  • ssl.truststore.password
  • sasl.jaas.config
  • ssl.truststore.certificates
  • ssl.keystore.certificate.chain
  • ssl.keystore.key

Utilice los campos Contraseña de clave privada, Contraseña de almacén de confianza, Contraseña de almacén de claves, Contraseña de clave privadao Contraseña de SASL para especificar propiedades de consumidor Kafka de tipo de contraseña.
Regulador de EPS

El número máximo de sucesos por segundo que QRadar ingiere.

Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS.