Registro remoto de Apache Kafka

Esta referencia contiene todas las preferencias disponibles para el registro remoto de Apache Kafka.

Generación de certificados de registro de terminales remotas para Compliance Reporter

Si quieres registrar datos de terminales remotas, necesitas un certificado para comprobar que el servidor recibe registros. Se recomienda definir manualmente la cadena de certificados completa a la que quieres que se conecte el cliente. Este proceso solo se aplica a la configuración inicial. Después de validar los ajustes, puedes usar un perfil de configuración en Jamf Pro para implementar certificados en terminales en producción. Si quieres más información, consulta Perfiles de configuración de ordenadores en la Guía del administrador de Jamf Pro.

  1. En Terminal, ejecuta lo siguiente para obtener la salida completa al archivo de certificado:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Copia el texto del certificado, incluidas las líneas BEGIN CERTIFICATE y END CERTIFICATE para separar los archivos .txt. Por ejemplo:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. Renombra el archivo .txt como .pem y haz doble clic para importar el archivo en el llavero del sistema.

    La salida será parecida a lo siguiente:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

Generación del certificado autofirmado de Apache Kafka para Compliance Reporter

Si usas servidores de Apache Kafka que utilizan certificados autofirmados, debes generar el certificado para configurar la clave de preferencias TLSServerCertificate. Debido a los requisitos de validación de certificados, la autoridad certificadora debe combinarse con el certificado de servidor firmado en la preferencia TLSServerCertificate.

  1. En Terminal, ejecuta el siguiente comando para copiar el almacén de confianza en un archivo .p12:
    /usr/bin/keytool -importkeystore -srckeystore kafka-server.truststore.jks -destkeystore kafka-server-truststore-copy.p12 -srcstoretype jks -deststoretype pkcs12
  2. Ejecuta el siguiente comando para convertir el archivo .p12 que has generado en el formato de archivo .pem requerido por Compliance Reporter:
    /usr/bin/openssl pkcs12 -in kafka-server-truststore-copy.p12 -out kafka-server-truststore-copy.pem
  3. Ejecuta el siguiente comando para concatenar el archivo .pem de la autoridad certificadora y el certificado público del servidor autofirmado:
    /bin/cat "kafka-server-truststore-copy.pem" "kafka-server-public-cert" > copy_everything_in_here_to_TLSServerCertificate_pref.txt
  4. Ejecuta el siguiente comando para copiar el certificado en un archivo .txt:
    /bin/cat "copy_everything_in_here_to_TLSServerCertificate_pref.txt"
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Claves de preferencias generales de registro remoto

Dominio
com.jamf.compliancereporter

Para activar el registro remoto, debes configurar las siguientes claves de preferencias generales además de las claves de preferencias específicas de tu SIEM.

ClaveDescripción
LogRemoteEndpointEnabled

Activa la transmisión de red de los datos del registro.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL a la que se envían los datos del registro. Se aplica a todos los tipos de registro remoto. Si usas Splunk, añade a la URL el sufijo /services/collector/raw. Si usas TLS para syslog, añade a la URL el prefijo «tls://».

<key>LogRemoteEndpointURL</key>
<string>https://server.address.com:9093</string>
LogRemoteEndpointType
Tipo de servidor de agregación de registros remotos. Usa una de estas opciones en función del servidor de agregación que utilices:

  • Splunk: «Splunk»

  • Apache Kafka: «Kafka»

  • TLS: «TLS»

  • Terminal REST: «REST»

  • TLS para syslog: «Syslog5424» o «syslog3164»

  • Amazon Kinesis: «AWSKinesis»

<key>LogRemoteEndpointType</key>
<string>Nombre de servidor</string>

Claves de preferencias de registro remoto de Apache Kafka

Dominio
com.jamf.compliancereporter
ClaveDescripción
LogRemoteEndpointKafka

(Obligatorio) Diccionario de contenedor para preferencias de Kafka.

<key>LogRemoteEndpointKafka</key>
<dict></dict>
TLSServerCertificate

(Obligatorio) Nombre comunes de la cadena de certificados TLS públicos almacenada en llavero del sistema. Esto se asocia al ajuste interno ssl.ca.location de Kafka. Compliance Reporter maneja la transformación a la ruta de archivo.

<key>TLSServerCertificate</key>
  <array>
    <string>server_name.company.com</string>
    <string>Let's Encrypt Authority X3</string>
    <string>DST Root CA X3</string>
  </array>
TLSClientPrivateKey

Clave privada de cliente sin contraseña y desencriptada en formato de archivo .pem. Esto se asocia al ajuste interno «ssl.key.location» de Kafka. Compliance Reporter maneja la transformación a la ruta de archivo.

<key>TLSClientPrivateKey</key>
  <string>-----BEGIN CERTIFICATE-----
{bytes aleatorios de tamaño variable}
-----END CERTIFICATE-----</string>
TLSClientCertificate

Nombres comunes de certificados de cliente almacenados en el llavero del sistema. Esto se asocia al ajuste interno «ssl.certificate.location» de Kafka. Compliance Reporter maneja la transformación a la ruta de archivo.

<key>TLSClientCertificate</key>
    <array>
    <string>Client Certificate CN</string>
  </array>
TopicName

La categoría de enrutamiento para servidores Kafka.

<key>TopicName</key>
  <string>Compliance Reporter</string>