Traitement des incidents d'Apache Kafka

Ce guide de référence fournit des options de traitement d'incidents pour la configuration d'Apache Kafka afin d'activer l'authentification client.

Apache Kafka

Tableau 1. Identification et résolution des incidents pour l'authentification du client Apache Kafka
Problème Solution
L'option Utiliser comme source de journal de passerelle est sélectionnée dans la configuration de source de journal, mais les sources de journal ne sont pas automatiquement détectées. Les événements qui sont diffusés en flux à partir de Kafka doivent contenir un en-tête compatible Syslog RFC3164 ou RFC5424 valide, de sorte que QRadar puisse déterminer correctement l'identificateur de source de journal de chaque événement.
Aucun événement n'est reçu et l'erreur suivante s'affiche dans le formulaire de configuration de la source de journal: "Encountered an error while attempting to fetch topic metadata... Please verify the configuration information."

Vérifiez que les détails du serveur d'amorce et du port entrés dans la configuration sont valides.

Si l'authentification client est activée, vérifiez ce qui suit :
  • Les mots de passe entrés sont corrects.
  • Le fichier de clés certifiées et les fichiers de clés du client sont présents dans le dossier /opt/qradar/conf/trusted_certificates/kafka/ et les noms de fichier correspondent.
  • Les certificats serveur (<filename>.der) sont présents dans le dossier /opt/qradar/conf/trusted_certificates/.
Aucun événement n'est reçu et l'erreur suivante s'affiche dans le formulaire de configuration de la source de journal: "The user specified list of topics did not contain any topics that exists in the Kafka cluster. Please verify the topic list." Lorsque vous utilisez les options Liste des rubriques pour vous abonner à des rubriques, QRadar tente de vérifier les rubriques disponibles dans le cluster Kafka par rapport aux rubriques spécifiées lors du démarrage initial de la source de journal. Si aucune rubrique entrée dans la configuration ne correspond à une rubrique disponible sur le cluster, ce message s'affiche. Vérifiez les noms de rubrique qui sont entrés dans la configuration ; pensez également à utiliser l'option Correspondance de modèle d'expression régulière pour vous abonner à des rubriques.
Lorsqu'une valeur de paramètre dans le fichier de propriétés sur le serveur Kafka est modifiée, les résultats attendus ne sont pas reçus. Désactivez la source de journal Kafka, puis réactivez-la.