Как отправить журнал Suricata в Кафку?

Question

После установки и настройки Suricata 5.0.2 в соответствии с документом https://suricata.readthedocs.io/.

Я пытаюсь изменить некоторые настройки в suricata.yaml, добавив:

- alert-json-log:
      enabled: yes
      filetype: kafka
      kafka:
        brokers: > 
         xxx-kafka-online003:9092,
         xxx-kafka-online004:9092,
         xxx-kafka-online005:9092,
         xxx-kafka-online006:9092,
         xxx-kafka-online007:9092
        topic: nsm_event
        partitions: 5
      http: yes

Далее я запускаю Suricata и получаю сообщение об ошибке Недопустимая запись для alert- json -log.filetype. Ожидаемый "обычный" (по умолчанию), "unix_stream", "p cie" или "unix_dgram"

Не знаю знаю, чтобы настроить на Suricata, чтобы включить отправку журнала в темы Kafka Пожалуйста, помогите.

Answer 1

Я не вижу Кафку в списке в качестве типа вывода, поэтому "нет, нет"

См. Документы: https://suricata.readthedocs.io/en/suricata-5.0.2/output/index.html

Плюс, я Я не уверен, что понимаю, что вы ожидаете от http: yes, так как Kafka не является службой HTTP

---

То, что вы могли бы сделать, установлено filetype: unix_stream, тогда я предполагаю, что это Syslog, и вы можете добавить другой сервис, такой как Kafka Connect или Fluentd или Logsta sh, чтобы направить эти данные в Kafka.

Другими словами, сервисам не нужно интегрироваться с Kafka. Существует множество альтернатив для чтения файлов или stdout / stderr / syslog потоков