Opcje konfiguracji protokołu Apache Kafka

Produkt IBM® QRadar® używa protokołu Apache Kafka do odczytywania strumieni danych zdarzeń z tematów w klastrze Kafka , który korzysta z interfejsu API konsumenta. Temat jest kategorią lub nazwą kanału informacyjnego w produkcie Kafka , w którym są zapisywane i publikowane komunikaty. Protokół Apache Kafka jest protokołem wychodzącym lub aktywnym, który może być używany jako źródło dziennika bramy przy użyciu niestandardowego typu źródła dziennika.

Protokół Apache Kafka obsługuje tematy o niemal każdej skali. Istnieje możliwość skonfigurowania wielu hostów kolekcji QRadar (EP/ECs) w celu gromadzenia danych z jednego tematu, na przykład wszystkich firewalli. Więcej informacji na ten temat zawiera publikacja Kafka Documentation (http://kafka.apache.org/documentation/).

W poniższej tabeli opisano parametry specyficzne dla protokołu dla protokołu Apache Kafka :
Tabela 1. Parametry protokołu Apache Kafka
Parametr Opis
Identyfikator źródła dziennika

Wpisz unikalną nazwę źródła dziennika.

Identyfikator źródła dziennika może być dowolną poprawną wartością i nie musi odwoływać się do konkretnego serwera. Może to być także ta sama wartość, co nazwa źródła dziennika. Jeśli istnieje więcej niż jeden ze skonfigurowanych źródeł dziennika Apache Kafka , należy nadać każdemu z nich unikalną nazwę.
Lista serwerów startowych < nazwa_hosta/adres_ip>: < port> serwera startowego (lub serwerów). Wiele serwerów można podać w postaci listy rozdzielanej przecinkami, na przykład w następującym przykładzie: hostname1:9092,1.1.1.1:9092.
Grupa konsumentów

Unikalny łańcuch lub etykieta, która identyfikuje grupę konsumentów, do której należy to źródło dziennika.

Każdy rekord, który jest publikowany w temacie Kafka , jest dostarczany do jednej instancji konsumenta w ramach każdej grupy konsumentów subskrybujących. Kafka używa tych etykiet do równoważenia obciążenia rekordów we wszystkich instancjach konsumenta w grupie.
Metoda subskrypcji tematów Metoda, która jest używana do subskrybowania tematów Kafka . Aby określić konkretną listę tematów, należy użyć opcji Lista tematów . Opcja Regex Pattern Matching umożliwia określenie wyrażenia regularnego w celu dopasowania do dostępnych tematów.
Lista tematów

Lista nazw tematów, które mają zostać zasubskrybowane. Lista musi być rozdzielona przecinkami; na przykład: Topic1,Topic2,Topic3

Ta opcja jest wyświetlana tylko wtedy, gdy dla opcji Metoda subskrypcji tematu wybrano opcję Lista tematów .
Wzorzec filtru tematów

Wyrażenie regularne zgodne z tematami, które mają zostać zasubskrybowane.

Ta opcja jest wyświetlana tylko wtedy, gdy dla opcji Metoda subskrypcji tematu wybrano opcję Zgodność wzorca wyrażenia regularnego .
Użyj uwierzytelniania SASL

Ta opcja wyświetla opcje konfiguracji uwierzytelniania SASL.

Jeśli używany jest bez uwierzytelniania klienta, należy umieścić kopię certyfikatu serwera w katalogu /opt/qradar/conf/trusted_certificates/ .
Użyj uwierzytelniania klienta Wyświetla opcje konfiguracji uwierzytelniania klienta.
Typ magazynu kluczy/zaufanej składnicy
Format pliku archiwum dla magazynu kluczy i typu magazynu zaufanych certyfikatów. Dla formatu pliku archiwum dostępne są następujące opcje:
  • JKS
  • PKCS12
Nazwa pliku magazynu zaufanych certyfikatów Nazwa pliku zaufanych certyfikatów. Magazyn zaufanych certyfikatów musi być umieszczony w programie /opt/qradar/conf/trusted_certificates/kafka/.

Plik zawiera nazwę użytkownika i hasło.
Nazwa pliku kluczy Nazwa pliku kluczy. Magazyn kluczy musi być umieszczony w katalogu /opt/qradar/conf/trusted_certificates/kafka/.

Plik zawiera nazwę użytkownika i hasło.
Użyj Jako Źródła Dziennika Bramy Ta opcja umożliwia gromadzenie zgromadzonych zdarzeń przez mechanizm analizy ruchu produktu QRadar i automatyczne wykrywanie odpowiednich źródeł dzienników.
Wzorzec identyfikatora źródła dziennika

Definiuje niestandardowy identyfikator źródła dziennika dla zdarzeń, które są przetwarzane, jeśli zaznaczono pole wyboru Użyj jako źródła dziennika bramy .

Pary klucz-wartość są używane do definiowania niestandardowego identyfikatora źródła dziennika. Klucz jest łańcuchem formatu identyfikatora, który jest wynikiem wartości źródłowej lub źródłowej. Wartością jest powiązany wzorzec wyrażenia regularnego, który jest używany do oceny bieżącego ładunku. Ta wartość obsługuje także grupy przechwytywania, które mogą być używane do dalszego dostosowywania klucza.

Wiele par klucz-wartość jest zdefiniowanych przez wpisanie każdego wzorca w nowej linii. Wiele wzorców jest wartościowanych w kolejności, w jakiej są wymienione. Po znalezieniu zgodności wyświetlany jest niestandardowy identyfikator źródła dziennika.

W poniższych przykładach przedstawiono wiele funkcji par klucz-wartość.
Wzorce
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Wydarzenia
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Wynikowy identyfikator źródła dziennika niestandardowego
VPC-ACCEPT-OK
Zastępowanie sekwencji znaków Zastępuje konkretne sekwencje znaków literałów w ładunku zdarzenia do rzeczywistych znaków. Dostępna jest jedna lub więcej z następujących opcji:
  • Newline (CR LF) Znak (\r \n)
  • Znak kanału informacyjnego linii (\n)
  • Znak Powrotu Karetki (\r)
  • Znak tabulacji (\t)
  • Znak spacji (\s)
Ograniczenie EPS Maksymalna liczba zdarzeń na sekundę (EPS). Jeśli pole jest puste, nie jest stosowane żadne ograniczanie.