我的目标是将 ArcSight CEF 消息从 ArcSight Transformation Hub 以解析的形式传输到 Elasticsearch。但是,Elastic Stack 提供的所有输入选项都不起作用:
Logstash ArcSight 模块根本无法通过 SSL 与 Transformation Hub 工作:Kafka Consumer Failed to load SSL keystore (Logstash ArcSight module) for any keystore type and path
Logstash with Kafka Plugin 确实可以使用 SSL 从 ArcSight Transofration Hub 读取数据,但是它只读取大约 50% 的数据,因此无论我尝试哪种设置(我也尝试过 9 Logstash 实例,每个读取 9 个 Transformation Hub / Kafka 管道中的 1 个,但仍获得与单个 Logstash 实例相同数量的事件):
Filebeat 还通过带有客户端证书身份验证的 SSL 与 ArcSight Transformation Hub 配合使用。但是,它使用 decode_cef 处理器。如果没有修改过的 filebeat 管道,它就无法解析一些 Windows 事件并且具有最大 5k EPS(我需要 50k EPS)。使用自定义管道,它可能可以解析所有内容,但几乎没有事件进入 Elasticsearch(每小时 5000 个事件,而不是每秒 50,000 个事件)。
所以问题是如果 Elastic 提供的 3 个“标准”选项都不起作用,如何将数据从 ArcSight 获取到 Elasticsearch?