IBM Cloud Activity Tracker 用の Apache Kafka ログ・ソース・パラメーター
IBM QRadar がログソースを自動的に検出しない場合は、Apache Kafka プロトコルを使用して、QRadar Console に IBM Cloud® Activity Tracker ログソースを追加します。
Apache Kafka プロトコルを使用する場合は、構成する必要がある特定のパラメーターがあります。
次の表では、IBM Cloud Activity Tracker から Apache Kafka イベントを収集するために特定の値が必要なパラメーターについて説明します:
| パラメーター | 値 |
|---|---|
| Log Source type | IBM Cloud Activity Tracker |
| Protocol Configuration | Apache Kafka |
| Log Source Identifier | ログ・ソースの固有名を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 「ログ・ソース ID」は、「ログ・ソース名」と同じ値にすることもできます。 複数のIBM Cloud Activity Trackerログ・ソースが構成されている場合、最初のログ・ソースをibmactivitytracker1、2番目のログ・ソースをibmactivitytracker2として識別するとよいでしょう。 |
| Bootstrap Server List | kafka_brokers_sasl フィールド値は、Configuring IBM Cloud Activity Tracker to communicate with QRadar® プロシージャーを完了したときに指定した JSON オブジェクトのテキストです。 |
| Use SASL Authentication | 有効 |
| SASL Username | user フィールド値は、Configuring IBM Cloud Activity Tracker to communicate with QRadar プロシージャーを完了したときに指定した JSON オブジェクトのテキストです。 |
| SASL Password | password フィールド値は、Configuring IBM Cloud Activity Tracker to communicate with QRadar プロシージャーを完了したときに指定した JSON オブジェクトのテキストです。 |
Apache Kafka プロトコル・パラメーターとその値の完全なリストについては、 Apache Kafka プロトコルの構成オプションを参照してください。
重要: IBM Cloud Event Streams 証明書は、90 日間の有効期限サイクルで更新する必要があります。 この理由で、通信を継続するために証明書は QRadar トラストストア で更新する必要があります。 次のオプションから1 つを選択します。
- QRadar オンプレミスユーザーの場合、証明書を /opt/qradar/conf/trusted_certificates/ ディレクトリーに追加するには、 /opt/qradar/getcert.sh ディレクトリーで getcert.sh コマンドを実行する必要があります。 以下のコマンドを実行します。
cd /opt/qradar/conf/trusted_certificates//opt/qradar/bin/getcert.sh <Kafka URL>URLR、 m4ydv39cxnxjm4pq.svc02.us-east.eventstreams.cloud.ibm.com に似ています。
- QRadar on Cloud ユーザーの場合は、IBM® サポートに連絡してサポート・ケースを開き、更新された証明書をトラストストアに格納してもらいます。
IBM Event Streams 証明書について詳しくは、「 IBM Event Streams の資料 」 (https://ibm.github.io/event-streams/getting-started/connecting/) を参照してください。