Apache Kafka iletişim kuralı yapılandırma seçenekleri

IBM® QRadar® , Consumer API kullanan bir Kafka kümesindeki konulardaki olay verilerini okumak için Apache Kafka iletişim kuralını kullanır. Konu, iletilerin saklandığı ve yayınlandığı Kafka ' da bir kategori ya da özet akışı adıdır. Apache Kafka iletişim kuralı, giden ya da etkin bir protokoldür ve özel bir günlük kaynağı tipi kullanılarak bir ağ geçidi günlük kaynağı olarak kullanılabilir.

Apache Kafka iletişim kuralı, neredeyse herhangi bir ölçeğe ilişkin konuları destekler. Birden çok QRadar kaynak grubu anasistemini (EP/EC ' ler) tek bir konudan toplamak için yapılandırabilirsiniz; örneğin, tüm güvenlik duvarları. Daha fazla bilgi için Kafka Documentation ' e (http://kafka.apache.org/documentation/) bakın.

Aşağıdaki çizelge, Apache Kafka iletişim kuralına ilişkin protokole özgü parametreleri göstermektedir:
Tablo 1. Apache Kafka iletişim kuralı parametreleri
Parametre Açıklama
Günlük Kaynağı Tanıtıcısı

Günlük kaynağı için benzersiz bir ad yazın.

Log Source Identifier (Günlük Kaynağı Tanıtıcısı) geçerli bir değer olabilir ve belirli bir sunucuya başvuruda bulunmaya gerek yoktur. Ayrıca, Günlük Kaynağı Adıile aynı değer de olabilir. Birden fazla yapılandırılmış Apache Kafka günlük kaynağınız varsa, her birine benzersiz bir ad verdiğinizden emin olun.
Önyükleme Sunucusu Listesi Önyükleme sunucusunun (ya da sunucularının) < anasistemadı/ip>: < kapı> . Virgülle ayrılmış bir listede birden çok sunucu belirtilebilir; örneğin, bu örnekte gösterildiği gibi: hostname1:9092,1.1.1.1:9092.
Tüketici Grubu

Bu günlük kaynağının ait olduğu tüketici grubunu tanımlayan benzersiz bir dize ya da etiket.

Bir Kafka konusuna yayınlanan her kayıt, abone olan her tüketici grubu içindeki bir tüketici örneğine teslim edilir. Kafka , bir gruptaki tüm tüketici eşgörünümlerine ilişkin kayıtları dengelemek için bu etiketleri kullanır.
Konu Aboneliği Yöntemi Kafka konularına abone olmak için kullanılan yöntem. Belirli bir konu listesini belirtmek için Konuları Listele seçeneğini kullanın. Kullanılabilir konularla eşleştirilecek düzenli bir ifade belirtmek için Regex Pattern Matching seçeneğini kullanın.
Konu Listesi

Abone olunalacak konu adlarının listesi. Liste virgülle ayrılmalı olmalıdır; örneğin: Topic1,Topic2,Topic3

Bu seçenek yalnızca Konu Abonelik Yöntemi seçeneği için Konuları Listele seçeneği işaretlendiğinde görüntülenir.
Konu Süzgeci Kalıbı

Abone olunabilmek için konularla eşleşen düzenli ifade.

Bu seçenek yalnızca Konu Abonelik Yöntemi seçeneği için Regex Pattern Matching (Regex Örüntü Eşleştirmesi) seçildiğinde görüntülenir.
SASL Kimlik Doğrulamasını Kullan

Bu seçenek, SASL kimlik doğrulama yapılandırma seçeneklerini görüntüler.

İstemci kimlik doğrulaması olmadan kullanıldığında, sunucu sertifikasının bir kopyasını /opt/qradar/conf/trusted_certificates/ dizinine yerleştirmeniz gerekir.
İstemci kimlik denetimini kullan İstemci kimlik denetimi yapılandırma seçeneklerini görüntüler.
Anahtar Deposu/Güven Deposu Tipi
Anahtar deposu ve güvenilirlik deposu tipinize ilişkin arşiv dosyası biçimi. Arşiv dosyası biçimi için aşağıdaki seçenekler kullanılabilir:
  • JKS
  • PKCS12
Güvenilirlik Deposu Dosya Adı Güvenilirlik deposu dosyasının adı. Güvenilirlik deposu /opt/qradar/conf/trusted_certificates/kafka/içine yerleştirilmelidir.

Dosya kullanıcı adını ve parolayı içerir.
Anahtar Deposu Dosya Adı Anahtar deposu dosyasının adı. Anahtar deposu /opt/qradar/conf/trusted_certificates/kafka/içine yerleştirilmelidir.

Dosya kullanıcı adını ve parolayı içerir.
Ağ Geçidi Günlük Kaynağı Olarak Kullan Bu seçenek, toplanan olayların QRadar Trafik Analizi motoruna geçebilmesini ve uygun günlük kaynaklarını otomatik olarak algılayabilmesini sağlar.
Günlük Kaynağı Tanıtıcısı Kalıbı

Ağ Geçidi Günlük Kaynağı Olarak Kullan onay kutusu seçiliyse, işlenmekte olan olaylar için özel bir Günlük Kaynağı Tanıtıcısı tanımlar.

Özel Günlük Kaynağı Tanıtıcısı 'nı tanımlamak için anahtar-değer çiftleri kullanılır. Anahtar, sonuçtaki kaynak ya da başlangıç değeri olan Tanıtıcı Biçimi Dizgisidir. Değer, yürürlükteki bilgi yükünü değerlendirmek için kullanılan ilişkili regex örüntüsidir. Bu değer, anahtarı uyarlamak için kullanılabilecek yakalama gruplarını da destekler.

Birden çok anahtar-değer çifti, her örüntüye yeni bir çizgiden yazılarak tanımlanır. Birden çok kalıp, listelendikleri sırayla değerlendirilir. Bir eşleşme bulunduğunda, özel bir Günlük Kaynağı Tanıtıcısı görüntülenir.

Aşağıdaki örneklerde birden çok anahtar-değer çifti işlevi gösterilmektedir.
Örüntüler
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
Olaylar
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
Sonuçtaki özel günlük kaynağı tanıtıcısı
VPC-ACCEPT-Tamam
Karakter Sırası Değiştirme Olay bilgi yükündeki belirli hazır karakter sıralarını gerçek karakterlerle değiştirir. Aşağıdaki seçeneklerden biri ya da birkaçı kullanılabilir:
  • Newline (CR LF) Karakter (\r \n)
  • Satır Besleme Karakteri (\n)
  • Satır Başı Karakteri (\r)
  • Sekme Karakteri (\t)
  • Boşluk karakteri (\s)
EPS Daraltma Saniye başına olay sayısı üst sınırı (EPS). Alan boşsa, kısıtlama uygulanmaz.