本帖最后由 梅川酷紫先生 于 2024-6-27 15:03 编辑
现象:STA3.0.19通过kafka对接360安全大脑,STA测试通过,对端收不到数据
信息:安全大脑IP地址:143.208.*.* STA IP地址:143.210.*.*
原配置截图:STA截图: file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps31.jpg 安全大脑截图:
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps32.jpg file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps33.jpg
STA 抓包截图: 发现提示无效的topic file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps34.jpg
排查思路:
1、STA上测试连通性正常的
2、抓包对端提示topic无效
3、已核实过两端topic是一致的
解决方案:1. 找SIP研发拿一个测试文件:rdkafka_example_cpp [size=12.0000pt]2. 把这个放到STA /home目录下,执行命令看看是否正常,通过chmod +x rdkafka_example_cpp 赋予执行权限
3. 执行:./rdkafka_example_cpp -P -t(主题)-b ip:port 备注:ip:port是360安全大脑的IP和端口 (1) 然后随便输入一些东西,比如“xxxxxxxxxxxxxxxxx” (2) 然后按ctrl+c,或者enter (3) 这里使用英文topic测试,提示 ①
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps35.jpg ② 提示域名不能解析,这个是因为kafka服务器配置的是域名,sta无法解析。把bennnao-kafka这个域名写进STA的hosts文件中,如下图: ③
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps36.jpg ④ 继续执行步骤3
4. 出现success表示可以对接,否则可能就不支持,或其他 file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps37.jpg
5. 回到STA接入界面查看 6.
备注:STA上填写的主题是自定义的,我用的sangfor,这里的主题需要和360本地安全大脑上的TOPIC对应,避免与现网中的其他设备主题起冲突 file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps38.jpg 7. 但是安全大脑上的状态还是停止状态,这里没有截图
8. 最后查360安全大脑的用户手册,发现在360安全大脑这边的KAFKA服务器地址应该配置成大脑本身的地址 9.
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps39.jpg 10. 发现STA已经接入360安全大脑 11.
注意:现在本地大脑上用的解析规则叫做《NDR_深信服STA告警_ALL》,不要使用这个规则!!!这个规则会导致后续流量限制未知!!! file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml12496/wps40.jpg 解决方法:使用360上的另外一个规则,叫做《流量审计_深信服_STA_入口规则》
总结:1. 由于STA的shell不支持中文,所以使用脚本配置的时候使用英文topic 2. 使用脚本测试提示解析不到域名,把云端大脑的域名和IP地址写进STA的hosts中 3. 云端大脑的KAFKA的服务器地址应该填写自己+9092端口,而不是填写STA的地址 4. STA上的主题请自定义,但是要避免和现网设备的主题冲突 5. 360本地安全大脑上选的解析规则使用《流量审计_深信服_STA_入口规则》
| 
发表于 2024-6-23 21:00
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
