现象：STA3.0.19通过kafka对接360安全大脑，STA测试通过，对端收不到数据

感谢分享，有助于工资和学下！

感谢分享，有助于工资和学习！

一起来学习，一起来学习

感谢分享，有助于工资和学习！

一起来学习，一起来学习

感谢分享，有助于工作和学习

感谢分享，有助于工作和学习

感谢楼主的精彩分享，有助工作!!!

现象：STA3.0.19通过kafka对接360安全大脑，STA测试通过，对端收不到数据
信息：

安全大脑IP地址：143.208.*.*

STA IP地址：143.210.*.*

原配置截图：

STA截图：

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps31.jpg

安全大脑截图：

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps32.jpg

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps33.jpg

STA 抓包截图：

发现提示无效的topic

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps34.jpg

排查思路：
1、STA上测试连通性正常的
2、抓包对端提示topic无效
3、已核实过两端topic是一致的

解决方案：

1. 找SIP研发拿一个测试文件：rdkafka_example_cpp

[size=12.0000pt]2. 把这个放到STA /home目录下，执行命令看看是否正常，通过chmod +x rdkafka_example_cpp 赋予执行权限

3. 执行：./rdkafka_example_cpp -P -t（主题）-b ip:port  备注：ip:port是360安全大脑的IP和端口

(1) 然后随便输入一些东西，比如“xxxxxxxxxxxxxxxxx”

(2) 然后按ctrl+c，或者enter

(3) 这里使用英文topic测试，提示

① file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps35.jpg

② 提示域名不能解析，这个是因为kafka服务器配置的是域名，sta无法解析。把bennnao-kafka这个域名写进STA的hosts文件中，如下图：

③ file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps36.jpg

④ 继续执行步骤3

4. 出现success表示可以对接，否则可能就不支持，或其他

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps37.jpg

5. 回到STA接入界面查看

6.

备注：STA上填写的主题是自定义的，我用的sangfor，这里的主题需要和360本地安全大脑上的TOPIC对应，避免与现网中的其他设备主题起冲突

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps38.jpg

7. 但是安全大脑上的状态还是停止状态，这里没有截图

8. 最后查360安全大脑的用户手册，发现在360安全大脑这边的KAFKA服务器地址应该配置成大脑本身的地址

9. file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps39.jpg

10. 发现STA已经接入360安全大脑

11.

注意：现在本地大脑上用的解析规则叫做《NDR_深信服STA告警_ALL》，不要使用这个规则！！！这个规则会导致后续流量限制未知！！！

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps40.jpg

解决方法：使用360上的另外一个规则，叫做《流量审计_深信服_STA_入口规则》

总结：

1. 由于STA的shell不支持中文，所以使用脚本配置的时候使用英文topic

2. 使用脚本测试提示解析不到域名，把云端大脑的域名和IP地址写进STA的hosts中

3. 云端大脑的KAFKA的服务器地址应该填写自己+9092端口，而不是填写STA的地址

4. STA上的主题请自定义，但是要避免和现网设备的主题冲突

5. 360本地安全大脑上选的解析规则使用《流量审计_深信服_STA_入口规则》