Apache Kafka Remote Logging

Diese Referenz enthält alle verfügbaren Einstellungen für das Apache Kafka Remote Logging

Erstellen der Zertifikate für Remote Logging Endpunkte für Compliance Reporter

Wenn Sie Daten von entfernten Endpunkten protokollieren möchten, benötigen Sie ein Zertifikat, um den Server zu verifizieren, der die Protokolle empfängt. Es gilt als Best Practice, die gesamte Zertifikatskette, mit der sich der Client verbinden soll, manuell zu definieren. Dieser Prozess dient nur für die ursprüngliche Bereitstellung. Nachdem die Einstellungen validiert wurden, können Sie Konfigurationsprofile in Jamf Pro nutzen, um Zertifikate zu Endpunkten in Production bereitzustellen. Weitere Informationen finden Sie unter Konfigurationsprofile für Computer im Jamf Pro Leitfaden für Administratoren.

  1. Führen Sie in Terminal den folgenden Befehl aus, um die vollständige Ausgabe für die Zertifikatsdatei zu erhalten:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Kopieren Sie den Zertifikatstext inklusive der Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“, um die .txt-Dateien zu trennen. Beispiel:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. Nennen Sie die .txt-Datei in eine .pem-Datei um und doppelklicken Sie darauf, um die Datei in den Systemschlüsselbund zu importieren.

    Die Ausgabe sollte diesem Beispiel ähneln:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

Erstellen des selbstsignierten Apache Kafka Zertifikats für Compliance Reporter

Wenn Sie Apache Kafka Server verwenden, die selbstsignierte Zertifikate nutzen, müssen Sie das Zertifikat generieren, um den Einstellungsschlüssel TLSServerCertificate zu konfigurieren. Aufgrund der Anforderungen für die Zertifikatsvalidierung muss die Zertifizierungsstelle mit dem signierten Serverzertifikat in der TLSServerCertificate-Einstellung kombiniert werden.

  1. Führen Sie in Terminal den folgenden Befehl aus, um den Truststore in eine .p12-Datei zu kopieren.
    /usr/bin/keytool -importkeystore -srckeystore kafka-server.truststore.jks -destkeystore kafka-server-truststore-copy.p12 -srcstoretype jks -deststoretype pkcs12
  2. Führen Sie den folgenden Befehl aus, um die .p12-Datei, die Sie erstellt haben, ins .pem-Format zu konvertieren, das für Compliance Reporter erforderlich ist.
    /usr/bin/openssl pkcs12 -in kafka-server-truststore-copy.p12 -out kafka-server-truststore-copy.pem
  3. Führen Sie den folgenden Befehl aus, um die .pem-Datei der Zertifizierungsstelle mit dem öffentlichen selbstsignierten Serverzertifikat zu verknüpfen:
    /bin/cat "kafka-server-truststore-copy.pem" "kafka-server-public-cert" > copy_everything_in_here_to_TLSServerCertificate_pref.txt
  4. Führen Sie den folgenden Befehl aus, um das Zertifikat in eine .txt-Datei zu kopieren:
    /bin/cat "copy_everything_in_here_to_TLSServerCertificate_pref.txt"
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Allgemeine Einstellungsschlüssel für das Remote Logging

Domäne
com.jamf.compliancereporter

Um Remote Logging zu aktivieren, müssen Sie zusätzlich zu den für Ihre SIEM-Lösung spezifischen Einstellungsschlüsseln die folgenden allgemeinen Einstellungsschlüssel konfigurieren.

SchlüsselBeschreibung
LogRemoteEndpointEnabled

Aktiviert die Netzwerkübertragung von Protokolldaten.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL, an die die Protokolldaten gesendet werden. Gilt für alle Arten von Remote Logging. Wenn Sie Splunk verwenden, hängen Sie der URL /services/collector/raw an. Wenn Sie Syslog TLS verwenden, stellen Sie der URL „tls://“ voran.

<key>LogRemoteEndpointURL</key>
<string>https://server.address.com:9093</string>
LogRemoteEndpointType
Typ für die Remote Logging Aggregationsserver. Verwenden Sie eine der folgenden Optionen, je nachdem, welche Art von Aggregationsserver Sie verwenden:

  • Splunk: "Splunk"

  • Apache Kafka: "Kafka"

  • TLS: "TLS"

  • REST Endpunkt: "REST"

  • Syslog TLS: "Syslog5424" oder "syslog3164"

  • Amazon Kinesis: "AWSKinesis"

<key>LogRemoteEndpointType</key>
<string>Server Name</string>

Einstellungsschlüssel für das Apache Kafka Remote Logging

Domäne
com.jamf.compliancereporter
SchlüsselBeschreibung
LogRemoteEndpointKafka

(Erforderlich) Container-Verzeichnis für die Kafka Einstellungen.

<key>LogRemoteEndpointKafka</key>
<dict></dict>
TLSServerCertificate

(Erforderlich) Allgemeine Namen der öffentlichen TLS-Zertifikatskette, die im Systemschlüsselbund gespeichert sind. Dies ist der internen Kafka Einstellung ssl.ca.location zugeordnet. Compliance Reporter verarbeitet die Transformation in den Dateipfad.

<key>TLSServerCertificate</key>
  <array>
    <string>server_name.company.com</string>
    <string>Let's Encrypt Authority X3</string>
    <string>DST Root CA X3</string>
  </array>
TLSClientPrivateKey

Entschlüsselter und passwortloser privater Client-Schlüssel im .pem-Dateiformat. Dies ist der internen Kafka Einstellung „ssl.key.location“ zugeordnet. Compliance Reporter verarbeitet die Transformation in den Dateipfad.

<key>TLSClientPrivateKey</key>
  <string>-----BEGIN CERTIFICATE-----
{variable sized random bytes}
-----END CERTIFICATE-----</string>
TLSClientCertificate

Allgemeine Namen der Client-Zertifikate, die im Systemschlüsselbund gespeichert sind. Dies ist der internen Kafka Einstellung „ssl.certificate.location“ zugeordnet. Compliance Reporter verarbeitet die Transformation in den Dateipfad.

<key>TLSClientCertificate</key>
    <array>
    <string>Client Certificate CN</string>
  </array>
TopicName

Die Routing-Kategorie für Kafka Server.

<key>TopicName</key>
  <string>Compliance Reporter</string>