更新时间:2024-10-29 GMT+08:00

连接器规则说明

源连接器

安全云脑租户采集连接器,目前支持的源连接器类型如下表所示:

表1 源连接器类型

连接器名称

对应的logstash插件

描述

传输控制协议 TCP

tcp

用于接收TCP协议日志,配置规则请参见表2

用户数据协议 UDP

udp

用于接收UDP协议日志,配置规则请参见表3

对象存储 OBS

obs

用于读取对象存储OBS桶的日志数据,配置规则请参见表4

消息队列 KAFKA

kafka

用于读取Kafka网络日志数据,配置规则请参见表5

云脑管道 PIPE

pipe

用于将安全云脑数据外发到租户侧,配置规则请参见表6

Elasticsearch CSS

elasticsearch

用于读取ES集群的数据,配置规则请参见表7

表2 tcp连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

端口

port

number

1025

采集节点端口号

解码类型

codec

string

plain

编码格式

  • plain:读取原始内容
  • json:处理json格式内容

报文标签

type

string

tcp

用于对日志标签

是否SSL

ssl_enable

boolean

false

是否开启ssl认证

ssl证书

ssl_cert

file

null

cert证书

ssl-key文件

ssl_key

file

--

ssl-key文件

ssl秘钥

ssl_key_passphrase

string

--

ssl证书密钥

表3 udp连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

端口

port

number

1025

采集节点端口好

解码类型

codec

string

plain

解码类型

  • plain:读取原始内容
  • json:处理json格式内容

报文标签

type

string

udp

报文标签,有于后续处理的标记

队列大小

queue_size

number

20000

队列大小

接收缓冲区字节数

receive_buffer_bytes

number

20000

接收缓冲区字节数

缓冲区大小

buffer_size

number

10000

缓冲区大小

工作线程

workers

number

1

工作线程数

表4 obs连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

region

region

string

--

region

bucket

string

demo-obs-sec-mrd-datas

对象桶名

endpoint

endpoint

string

--

endpoint地址,注意要添加https

AK

ak

string

--

AK

SK

sk

string

--

SK

前缀

prefix

string

/test

日志读的文件夹前缀

缓存文件夹

temporary_directory

string

/temp

日志读取时,缓存的文件夹

报文标签

type

string

--

报文标签

记忆路径

sincedb_path

string

/opt/cloud/logstash/pipeline/file_name

用于设置读取的位置信息,防止重启导致的全文遍历

表5 kafka连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

服务地址

bootstrap_servers

string

--

服务地址

主题

topics

array

logstash

主题,可同时消费多个主题

消费线程

consumer_threads

number

1

消费线程

偏移复位

auto_offset_reset

string

latest

偏移复位

  • earliest:读取最早的消息
  • latest:读取最新的消息

SSL证书

ssl_truststore_location

file

--

SSL证书

当选择SSL相关协议时需要填写该参数

SSL秘钥

ssl_truststore_password

string

--

SSL秘钥

当选择SSL相关协议时需要填写该参数

安全协议

security_protocol

string

SASL_SSL

安全协议

sasl连接配置

sasl_jaas_config

string

--

sasl连接配置

是否加密

is_pw_encrypted

string

false

是否加密

sasl机制

sasl_mechanism

string

PLAIN

sasl_mechanism

分组Id

group_id

string

--

group_id

其中,“sasl连接配置”需要根据kafka规格进行填写。示例如下:

  • 明文连接配置
    org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka用户' password='kafka密码';
  • 密文连接配置
    org.apache.kafka.common.security.scram.ScramLoginModule required username='kafka用户名' password='kafka密码';
表6 pipe连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

类型

type

string

租户

类型

管道

pipeId

string

--

管道id

域账户

domain_name

string

domain_name

账户domaionName

用户名

user_name

string

user_name

账户user_name

密码

user_password

string

--

账户user_password

订阅类型

subscription_type

string

true

订阅类型

  • Shared:共享模式
  • Exclusive:独占模式
  • Failover:灾备模式

订阅初始位置

subscription_initial_position

string

true

订阅初始位置

表7 elasticsearch连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

主机地址

hosts

array

--

主机地址

索引

index

string

--

索引

检索语句

query

string

--

检索语句

用户名

user

string

--

用户名

密码

user_password

string

--

密码

查询数量

size

number

20

查询数量

scroll

string

5m

文档信息

docinfo

boolean

true

文档信息

是否配置加密

is_pw_encrypted

boolean

true

是否配置加密

是否SSL

ssl

boolean

true

是否SSL

证书文件

ca_file

file

--

证书文件

是否SSL证书校验

ssl_certificate_verification

boolean

true

是否SSL校验

目的连接器

安全云脑租户采集连接器,目前支持的目的连接器类型如下表所示:

表8 目的连接器类型

连接器名称

对应的logstash插件

描述

传输控制协议 TCP

tcp

用于发送TCP协议日志,配置规则请参见表9

用户数据协议 UDP

udp

用于发送UDP协议日志,配置规则请参见表10

消息队列 KAFKA

kafka

用于将日志写入Kafka消息队列,配置规则请参见表11

对象存储 OBS

obs

用于写日志到对象存储OBS桶中,配置规则请参见表12

云脑管道 PIPE

pipe

用于将日志写入安全云脑管道中,配置规则请参见表13

表9 tcp连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

端口

port

number

1025

端口

解码类型

codec

string

plain

解码类型,json_lines或者plain

  • plain:读取原始内容
  • json_lines:处理json格式内容

主机地址

host

string

192.168.0.66

host地址

注:与节点网络互通

ssl证书

ssl_cert

file

--

ssl_cert证书

是否SSL

ssl_enable

boolean

false

是否开启ssl

ssl-key文件

ssl_key

file

--

ssl_key文件

ssl秘钥

ssl_key_passphrase

string

--

ssl_key_passphrase密钥

表10 udp连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

主机地址

host

string

--

主机地址

注:与节点网络互通

端口

port

number

1025

端口

解码类型

codec

string

json_lines

解码类型,json_lines或者plain

  • plain:读取原始内容
  • json_lines:处理json格式内容

重试次数

retry_count

number

3

重试次数

重试延迟毫秒数

retry_backoff_ms

number

200

重试延迟毫秒数

表11 kafka连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

服务地址

bootstrap_servers

string

--

服务地址eg:192.168.21.21:9092,192.168.21.24:9999

主题

topic_id

string

logstash

主题

解码类型

codec

string

plain

解码类型,json或者plain

请求体最大长度

max_request_size

number

10485760

请求体最大长度

SSL证书

ssl_truststore_location

file

--

SSL证书

当选择SSL相关协议时需要填写该参数

SSL秘钥

ssl_truststore_password

string

--

SSL秘钥

当选择SSL相关协议时需要填写该参数

安全协议

security_protocol

string

PLAINTEXT

安全协议

sasl连接配置

sasl_jaas_config

string

--

sasl连接配置

是否加密

is_pw_encrypted

string

true

是否加密

sasl机制

sasl_mechanism

string

PLAIN

sasl_mechanism

其中,“sasl连接配置”需要根据kafka规格进行填写。示例如下:

  • 明文连接配置
    org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka用户' password='kafka密码';
  • 密文连接配置
    org.apache.kafka.common.security.scram.ScramLoginModule required username='kafka用户名' password='kafka密码';
表12 obs连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

region

region

string

--

region

bucket

string

demo-obs-sec-mrd-datas

桶名

endpoint

endpoint

string

--

endpoint

缓存文件夹

temporary_directory

string

/temp/logstash/

缓存路径

编码类型

codec

string

plain

编码格式plain或者json

AK

ak

string

--

AK

SK

sk

string

--

SK

前缀

prefix

string

test

路径前缀

编码格式

encoding

string

gzip

编码格式gzip或者纯文件

记忆路径

sincedb_path

string

/opt/cloud/logstash/pipeline/file_name

用于设置读取的位置信息,防止重启导致的全文遍历

表13 pipe连接器配置规则

规则

对应logstash配置项

类型

默认值

是否必填

描述

类型

type

string

租户

类型

管道

pipeId

string

--

管道

AK

ak

string

--

AK

选择平台类型需填写该参数

SK

sk

string

--

SK

选择平台类型需填写该参数

域账户

domain_name

string

domain_name

账户domain_name

选择租户类型需填写该参数

用户名

user_name

string

user_name

账户user_name

选择租户类型需填写该参数

密码

user_password

string

--

账户user_password

选择租户类型需填写该参数

压缩类型

compression_type

string

NONE

报文压缩类型

队列满阻止

block_if_queue_full

boolean

true

队列满阻止进入

启用批处理

enable_batching

boolean

true

是否开启批处理