IBM Cloud Activity Tracker 用の Apache Kafka ログ・ソース・パラメーター

IBM QRadar がログソースを自動的に検出しない場合は、Apache Kafka プロトコルを使用して、QRadar Console に IBM Cloud® Activity Tracker ログソースを追加します。

Apache Kafka プロトコルを使用する場合は、構成する必要がある特定のパラメーターがあります。

次の表では、IBM Cloud Activity Tracker から Apache Kafka イベントを収集するために特定の値が必要なパラメーターについて説明します:
表 1. Apache Kafka DSMのログソースパラメーター IBM Cloud Activity Tracker DSMのログソースパラメーター
パラメーター
Log Source type IBM Cloud Activity Tracker
Protocol Configuration Apache Kafka
Log Source Identifier

ログ・ソースの固有名を入力します。

「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数のIBM Cloud Activity Trackerログ・ソースが構成されている場合、最初のログ・ソースをibmactivitytracker1、2番目のログ・ソースをibmactivitytracker2として識別するとよいでしょう。
Bootstrap Server List kafka_brokers_sasl フィールド値は、Configuring IBM Cloud Activity Tracker to communicate with QRadar® プロシージャーを完了したときに指定した JSON オブジェクトのテキストです。
Use SASL Authentication 有効
SASL Username user フィールド値は、Configuring IBM Cloud Activity Tracker to communicate with QRadar プロシージャーを完了したときに指定した JSON オブジェクトのテキストです。
SASL Password password フィールド値は、Configuring IBM Cloud Activity Tracker to communicate with QRadar プロシージャーを完了したときに指定した JSON オブジェクトのテキストです。

Apache Kafka プロトコル・パラメーターとその値の完全なリストについては、 Apache Kafka プロトコルの構成オプションを参照してください。

重要: IBM Cloud Event Streams 証明書は、90 日間の有効期限サイクルで更新する必要があります。 この理由で、通信を継続するために証明書は QRadar トラストストア で更新する必要があります。 次のオプションから1 つを選択します。
  • QRadar オンプレミスユーザーの場合、証明書を /opt/qradar/conf/trusted_certificates/ ディレクトリーに追加するには、 /opt/qradar/getcert.sh ディレクトリーで getcert.sh コマンドを実行する必要があります。 以下のコマンドを実行します。
    cd /opt/qradar/conf/trusted_certificates/
    /opt/qradar/bin/getcert.sh <Kafka URL>

    URLR、 m4ydv39cxnxjm4pq.svc02.us-east.eventstreams.cloud.ibm.com に似ています。

  • QRadar on Cloud ユーザーの場合は、IBM® サポートに連絡してサポート・ケースを開き、更新された証明書をトラストストアに格納してもらいます。

IBM Event Streams 証明書について詳しくは、「 IBM Event Streams の資料 」 (https://ibm.github.io/event-streams/getting-started/connecting/) を参照してください。