Kafka への警告のエクスポート
はじめに
このドキュメントでは、Kafka に警告を出力するために必要な手順について説明します。このドキュメントでは、ユーザーが Kafka の設定と保守に必要な手順 (クラスタ、トピックなど) を完了していることを前提としています。
センサーの設定
以下の例では、ユーザーが定義した Kafka クラスタとトピックに警告を送信するようにセンサーを設定します。
次のコードを runtimedetections.yaml ファイルに追加します。
alert_output:
outputs:
- type: kafka
enabled: true
tls_enabled: true
client_key_file_path: "{{file path to key}}"
client_cert_file_path: "{{file path to cert}}"
client_ca_file_path: "{{file path to ca}}"
topic: "sophos-alerts"
brokers:
- <BROKER URL>
注
Kafka の設定時に作成した「トピック」と「ブローカー」の値を使用します。
センサーの Kafka への接続を設定するもう 1つの方法は、TLS をオフにすることです。TLS をオフにするには、次のコードを runtimedetections.yaml ファイルで使用します。
alert_output:
outputs:
- type: kafka
enabled: true
tls_enabled: false
topic: "quickstart-events"
brokers:
- localhost:9092
runtimedetections.yaml が更新されたら、次のコマンドを使用して Sophos Linux Sensor (SLS) を再起動します。
sudo systemctl restart sophoslinuxsensor SLS を再起動後、警告をトリガーして、警告が Kafka に出力されることを確認してください。