コンテンツにスキップ

Kafka への警告のエクスポート

はじめに

このドキュメントでは、Kafka に警告を出力するために必要な手順について説明します。このドキュメントでは、ユーザーが Kafka の設定と保守に必要な手順 (クラスタ、トピックなど) を完了していることを前提としています。

センサーの設定

以下の例では、ユーザーが定義した Kafka クラスタとトピックに警告を送信するようにセンサーを設定します。

次のコードを runtimedetections.yaml ファイルに追加します。

alert_output:
  outputs:
    -   type: kafka
      enabled: true
      tls_enabled: true
      client_key_file_path: "{{file path to key}}"
      client_cert_file_path: "{{file path to cert}}"
      client_ca_file_path: "{{file path to ca}}"
      topic: "sophos-alerts"
      brokers:
        -   <BROKER URL>

Kafka の設定時に作成した「トピック」と「ブローカー」の値を使用します。

センサーの Kafka への接続を設定するもう 1つの方法は、TLS をオフにすることです。TLS をオフにするには、次のコードを runtimedetections.yaml ファイルで使用します。

alert_output:
  outputs:
    -   type: kafka
      enabled: true
      tls_enabled: false
      topic: "quickstart-events"
      brokers:
        -   localhost:9092

runtimedetections.yaml が更新されたら、次のコマンドを使用して Sophos Linux Sensor (SLS) を再起動します。

sudo systemctl restart sophoslinuxsensor 

SLS を再起動後、警告をトリガーして、警告が Kafka に出力されることを確認してください。