kafka2.2开启审计日志+logstash处理日志

最新推荐文章于 2024-08-19 20:50:40 发布
最新推荐文章于 2024-08-19 20:50:40 发布
阅读量1.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44224087/article/details/109442824
版权

1.kafka开启SASL

1.1 config/server.properties添加如下内容
listeners=SASL_PLAINTEXT://127.0.0.1:9092
security.inter.broker.protocol=SASL_PLAINTEXT
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN
authorizer.class.name = kafka.security.auth.SimpleAclAuthorizer
super.users=User:admin;User:alice
1.2 新建kafka server端的配置文件config/kafka_server_jaas.conf
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="admin"
    password="admin"
    user_admin="admin"
    user_alice="alice";
};
1.3 启动kafka的server,VM option加参数:
-Dlog4j.configuration=file:D:\workspace\project_IDEA\kafka-2.2.1\kafka-2.2.1-src\config\log4j.properties
-Djava.security.auth.login.config=D:\workspace\project_IDEA\kafka-2.2.1\kafka-2.2.1-src\config\kafka_server_jaas.conf
1.4 新建kafka client端的配置文件config/kafka_client_jaas.conf
KafkaClient {
  org.apache.kafka.common.security.plain.PlainLoginModule required
  username="admin"
  password="admin";
};
1.5 在producer与consumer代码中添加
System.setProperty("java.security.auth.login.config", "D:\\workspace\\project_IDEA\\kafka-2.2.1\\kafka-2.2.1-src\\config\\kafka_client_jaas.conf"); // 环境变量添加,需要输入配置文件的路径
        props.put("security.protocol", "SASL_PLAINTEXT");
        props.put("sasl.mechanism", "PLAIN");
1.6 修改config/log4j.properties的审计日志为DEBUG级别
# Access denials are logged at INFO level, change to DEBUG to also log allowed accesses
log4j.logger.kafka.authorizer.logger=DEBUG, authorizerAppender
log4j.additivity.kafka.authorizer.logger=false
1.7 启动生产者与消费者

2.处理kafka-authorizer.log日志

2.1 在linux执行命令:
vmhgfs-fuse .host:/ /mnt/hgfs #如果不设置自动挂载每次打开虚拟机都要执行这条语句
2.2 新建配置文件/config/kafka.conf
input {
	file {
		path => "/mnt/hgfs/share/kafka-authorizer.log"
		start_position => "beginning"
	}
}
filter {
	if ([message] =~"acls") {
         drop {}
     }
	mutate {
		split => ["message","="]
		add_field =>   {"date_time" => "%{[message][0]}"}
		add_field =>   {"user_array" => "%{[message][1]}"}
		add_field =>   {"operation" => "%{[message][2]}"}
		add_field =>   {"ip" => "%{[message][3]}"}
		add_field =>   {"topic" => "%{[message][4]}"}
	}
	grok {
        match => {
			"date_time" => "%{DATESTAMP:date_time}"
		}
		overwrite => ["date_time"]
    }
    grok {
        match => {
        	"user_array" => "%{NOTSPACE:user_array}"
        }
        overwrite => ["user_array"]
    }
    grok {
        match => {
        	"operation" => "%{NOTSPACE:operation}"
        }
        overwrite => ["operation"]
    }
    grok {
        match => {
        	"ip" => "%{IP:ip}"
        }
        overwrite => ["ip"]
    }
    grok {
        match => {
        	"topic" => "%{NOTSPACE:topic}"
        }
        overwrite => ["topic"]
    }
    mutate {
		split => ["user_array",":"]
		add_field =>   {"user" => "%{[user_array][1]}"}
		remove_field => ["user_array"]
		remove_field => ["message"]
	}
}
output {
	stdout{}
	if [operation] == "Read" or [operation] == "Write" or [operation] == "Describe" {
		if ([topic] =~"Topic") {
            jdbc {
                driver_jar_path => "/var/local/mysql-connector-java-8.0.13.jar"
                driver_class => "com.mysql.jdbc.Driver"
                connection_string => "jdbc:mysql://10.0.77.136:3306/logstash?user=root&password=123456&serverTimezone=GMT%2B8"
                statement => [ "insert into log_kafka_topic (TIME,user,operation,IP,topic) values (?,?,?,?,?)","%{date_time}","%{user}","%{operation}","%{ip}","%{topic}" ]
			}
     	}
     	if ([topic] =~"Group") {
            jdbc {
                driver_jar_path => "/var/local/mysql-connector-java-8.0.13.jar"
                driver_class => "com.mysql.jdbc.Driver"
                connection_string => "jdbc:mysql://10.0.77.136:3306/logstash?user=root&password=123456&serverTimezone=GMT%2B8"
                statement => [ "insert into log_kafka_group (TIME,user,operation,IP,topic_group) values (?,?,?,?,?)","%{date_time}","%{user}","%{operation}","%{ip}","%{topic}" ]
			}
     	}
	}
}
2.3 log_kafka_topic建表
CREATE TABLE log_kafka_topic(
	ID INT NOT NULL AUTO_INCREMENT,
	TIME VARCHAR(25) NOT NULL,
	user VARCHAR(25) NOT NULL,
	operation VARCHAR(20) NOT NULL,
	IP VARCHAR(20) NOT NULL,
	topic VARCHAR(50) NOT NULL,
    PRIMARY KEY (ID)
);
2.4 log_kafka_group建表
CREATE TABLE log_kafka_group(
	ID INT NOT NULL AUTO_INCREMENT,
	TIME VARCHAR(25) NOT NULL,
	user VARCHAR(25) NOT NULL,
	operation VARCHAR(20) NOT NULL,
	IP VARCHAR(20) NOT NULL,
	topic_group VARCHAR(50) NOT NULL,
    PRIMARY KEY (ID)
);
2.5 清空表
truncate table log_kafka_topic;
truncate table log_kafka_group;
2.6 启动logstash
./bin/logstash -f ./config/kafka.conf --path.data=/root/logstash/kafka
学无止境先生
关注
Fluentd日志收集与解析实践
程序员光剑
07-28 1611
Fluentd 是一款开源、多平台、全面的日志聚合、传输和处理工具,支持包括 Apache Kafka、Elasticsearch、InfluxDB、Cloudwatch Logs 在内的一系列主流日志采集、传输和处理服务。本文将详细介绍Fluentd日志收集组件的主要功能,并对 Fluentd 及其相关组件进行配置、部署,帮助读者更好地理解 Fluentd 的工作机制及架构设计,更好的掌握 Fluentd 的使用方法。Fluentd 是一个开源的日志收集和传输框架。
Doris SQL日志审计部署,以及sql收集输出kafka,后续血缘分析
qq_31866793的博客
10-09 2034
1,介绍 Doris 的审计日志插件是一个可选插件。用户可以在运行时安装或卸载这个插件,该插件可以将 FE 的审计日志定期的导入到指定 Doris 集群中,以方便用户通过 SQL 对审计日志进行查看和分析,这里的数据其实是Doris FE log目录下的fe.audit.log文件中的数据。 我们要做的是安装这个插件,然后我们可以通过dorissql去对应的表查询sql语句,也可以通过doris目录下的fe.audit.log文件将日志接出之后写入外部操作。 通过filebeat...
Kafka端到端审计
weixin_34146986的博客
05-10 159
概述 Kafka端到端审计是指生产者生产的消息存入至broker,以及消费者从broker中消费消息这个过程之间消息个数及延迟的审计,以此可以检测是否有数据丢失,是否有数据重复以及端到端的延迟等。 目前主要调研了3个产品: Chaperone (Uber) Confluent Control Center(非开源,收费) Kaf...
日志审计Graylog 使用教程-kafka收取消息
最新发布
qq_41167620的博客
08-19 1274
Graylog 常用于 IT 运维、安全监控、故障排查等场景,通过对日志数据的集中管理和分析,帮助企业提高系统的可观测性和问题解决能力。产生的告警内容,我们自定义字段“renyuan”他的value通过映射表username关联到的。我们创建映射表时,通过username查找department内容,并添加到告警自定义字段中。他作为动态数据获取,比如IP 地理位置等,根据日志某个字段的信息从XX库找到对应的数据。这里内容是kafka生产的消息,只作为日志,可以对每个字段配置提取。
kafka】CDP集群 kafka-ranger-audit-spool 日志太大问题排查
Mrerlou的博客
06-13 752
最近发现 服务 的 审计目录假脱机日志过多,过大。这里整理并记录一下解决方案。 服务 日志过多。 问题原因 当为 启用 审计时,当写入 失败时,审计日志数据会在本地磁盘上假脱机。我们的 服务和 服务的相关配置如下:那么为什么写入 失败呢,通过查看上下文发现 ranger 没有写入 文件的权限。CDP 环境解决如下: -> ->如果环境不为 CDP 环境:实际上就是创建 服务对应的 目录,并对 目录赋予正确的权限,使得 能够正常写入数据到 即可。..............
elasticsearch+logstash+kafka+beat搭建日志审计体系
wutongyuWxc的博客
01-11 2682
​序言:本文搭建日志审计系统,8g内存+1T硬盘,单机实现每秒3000eps的吞吐量,主要架构如下: 客户端日志监听工具: evtsys:监听主机系统,网络设备的日志 filebeat:监听应用日志 日志服务器接收日志logstash:监听客户机发送的日志,做简单的处理,规整日志 日志服务器存储日志: elasticsearch:存储日志,类似于nosql数...
Kafka审计系统Chaperone.zip
07-16
作为 Kafka 审计系统,Chaperone 监控数据流的完整性和延迟。审计指标持久存储在数据库中,供 Kafka 用户量化其主题的损失。Chaperone 的目标是在数据流经数据管道的每个阶段,能够抓住每个消息,统计一定时间段内的数据量,并尽早准确地检测出数据的丢失、延迟和重复情况。Chaperone 由几个部分组成:ChaperoneClient是一个库,可以像 Kafka 生产者或消费者一样审计邮件。 审计统计被发送到专用的 Kafka 主题,例如'chaperone-audit'。ChaperoneCollector 使用'chaperone-audit' 的审计统计信息,并将其保存到数据库中。ChaperoneService 审计保存在 Kafka 中的消息。 由于它是基于 uReplicator 构建的,它由两个子系统组成:ChaperoneServiceController,用于自动检测 Kafka 中的主题,并将主题分区分配给工作人员进行审计; ChaperoneServiceWorker 从指定的主题分区审核消息。 特别地,ChaperoneService 和 ChaperoneCollector 一起确保每个消息被审核一次。
【EFK】基于K8S构建EFK+logstash+kafka日志平台(1),大数据开发面试回忆录
2401_84167072的博客
04-15 976
Elasticsearch 是一个分布式的免费开源搜索和分析引擎,适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。Elasticsearch 在 Apache Lucene 的基础上开发而成,由 Elasticsearch N.V.(即现在的 Elastic)于 2010 年首次发布。Elasticsearch 以其简单的 REST 风格 API、分布式特性、速度和可扩展性而闻名,是 Elastic Stack 的核心组件;
Elasticsearch与Logstash日志处理与分析
# 1. 引言 ## 1.1 简介 在现代互联网和信息技术的快速发展下,越来越多的系统和应用程序产生大量的日志数据。...本文的目的是介绍使用Elasticsearch和Logstash进行日志处理与分析的方法和技术。我们将重点介绍E
Grok与Logstash配合:打造高效日志处理系统
在构建高效的日志处理系统之前,首先需要了解Grok和Logstash这两个关键技术工具。 ### 1.1 Grok简介 Grok是一个强大的文本解析工具,它可以帮助我们从未结构化的日志数据中提取有用的信息。主要用于日志数据的解析...
Filebeat模块:简化常见日志格式处理
AI大模型应用之禅
08-03 37
Filebeat模块:简化常见日志格式处理 作者:禅与计算机程序设计艺术 1. 背景介绍 在现代IT系统中,日志数据扮演着至关重要的角色。日志记录了系统运行过程中的各种事件,包括错误、警告、信息等,是问题排查、性能优化、安全审计等工作的重要依据。然而,面对海量的日志
Kafka专题】Kafka日志索引详解以及生产常见问题分析与总结
qq_32681589的博客
10-03 1247
了解了文件存储日志文件的特点及数据内容。
Kafka 消息中间件
hudeyong926的专栏
11-30 3610
提供路由并保证消息的传送;如果发送消息时接收者不可用,消息对列会保留消息,直到可以成功地传递它为止,当然,消息队列保存消息也是有期限的。 二消息中间件特点1)解耦:允许你独立的扩展或修改两边的处理过程,只要确保它们遵守同样的接口约束。2)冗余:消息队列把数据进行持久化直到它们已经被完全处理,通过这一方式规避了数据丢失风险。许多消息队列所采用的"插入-获取-删除"范式中,在把一个消息从队列中删除之前,需要你的处理系统明确的指出该消息已经被处理完毕,从而确保你的数据被安全的保存直到你使用
统信uos配置rsyslog日志转发kafka
weixin_43315470的博客
08-03 1666
统信uos使用的是arm64位的cpu,自带的rsyslog不是v8版本的,需要将rsyslog升级到v8版本,离线安装升级需要下载相应的deb安装包。文件夹下的查看是否有omkafka.os文件,如果没有需要安装rsyslog-kafka插件,安装离线kafka插件时需要注意依赖问题,例如:libc6的版本。安装完成后再次查看是否有omkafka.os文件,该文件是rsyslog日志能否转发到kafka的关健。安装完毕后,编辑rsyslog的配置文件。配置完成后按ESC退出,:wq保存。...
kafka日志策略
shenyunsese的专栏
11-03 1314
在学习日志清理策略之前,首先了解一下kafka是如何存储和管理日志的,因为他的管理都是基于segment的,所以有必要先了解清楚这个segement的产生策略。kafka启用delete的清理策略的时候需要注意配置segment.bytes: 每个segment的大小,达到这个大小会产生新的segment, 默认是1Gsegment.ms: 配置每隔n ms产生一个新的segment,默认是168h,也就是7天。
中间件--Kafka
Peng_zhj的博客
05-11 1357
kafka MQ软件 数据库:mysql oracle redis mongo ES MQ: activeMQ RabbitMQ RockectMQ zeroMQ Kafka kafka介绍 Kafka 是一个分布式流媒体平台 这里的流指的是源源不断的数据 kafka官网:http://kafka.apache.org/ (1)流媒体平台有三个关键功能: 发布和订阅记录流,类似于消息队列或企业消息传递系统。 以容错的持久方式存储记录流。 kafka中的数据即使消费后也不会消失
审计日志设计方案
用键盘与世界交流
02-02 1279
首先,网关的请求日志量是十分巨大的,如果不使用MQ进行缓存,把网关收集到的日志直接通过http或者grpc等其他协议直接上送日志,那有可能带来一是可能阻塞了网关,二来审计系统的资源可能处理不及时,导致日志丢失,或者引发审计系统宕机。上述的方案是满足了产品规划的需求,记录的事件明细基本上就只是一句话概括的,比如 ”在碧桂山城项目中,修改业主【小王】“,这句话根本就没体现修改了什么东西,是修改了业主的手机号?等等都没记录起来,所以我们要和前端同学做个约定,就是在修改接口中,将修改前的数据也传入到请求参数中。
基于openResty + KafkaMQ + SpringBoot+Mysql打造业务数据安全审计平台
javaDB_EAD的专栏
09-10 1283
设计思路: 1、通过openresty-1.15.8.1 引入lua-resty-kafka 插件(自带lua脚步支持),定义采集客户端URL返回的response_body具体信息(前后端分离项目,只采集ajax请求即可)的.conf文件 2、将采集信息已日志形式输出,同时生产消息至KafkaMQ 3、SpringBoot 开发KafkaMQ消费端,消费消息(获取自定义的规则信息,进...
构建高效实时日志集群方案:Elasticsearch+Logstash+Kibana
- 为了提高系统的稳定性和容错性,引入了消息队列(如Redis或Kafka),在集群规模扩大时,用于缓解网络压力和处理大量数据。 - 存储检索部分选择了Elasticsearch,它利用Lucene库提供高性能的全文搜索和分布式存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值