关于使用 OCI 流处理将 OCI 日志流处理到 LogRhythm Kafka Beat

Oracle Cloud Infrastructure (OCI) 流式传输数据记录到 LogRhythm SIEM(安全信息和事件管理),以充分利用 SIEM 系统的功能,例如事件相关性、安全事件管理和合规性要求。在此解决方案中,我们将介绍如何使用 OCI Streaming 和 Kafka Beat Open Collector 将 OCI 日志与 LogRhythm SIEM 集成。

使用须知

在开始将 OCI Logging 与 LogRhythm SIEM 集成之前,请验证支持的版本以与《 Open Collector Installation and User Guide 》中的 Kafka Open Collector 和 Kafka Beat for LogRhythm 一起使用。

体系结构

在第三方 SIEM 参考架构中, OCI Logging 可从审计日志、服务日志和定制日志等不同来源捕获日志。OCI 日志通过服务连接器中心连接到流,该中心可在 OCI 流处理服务中写入日志。

OCI Streaming 内置了使用 Connect Harness 的 Kafka 连接支持。Kafka Connect 使用 sink 和源连接器将数据从 Kafka 主题移动,或者将数据发送到 Kafka 主题。

然后,它可以与第三方 SIEM 平台(例如 LogRhythm)进行接口,该平台收集流数据以进行进一步分析。我们为 Kafka beat 使用 LogRhythm 开放收集器将数据从 Oracle 流处理迁移到 LogRhythm。

下图说明了此参考体系结构的工作流。



stream-oci-logs-logrhythm-kafka-beat.zip

体系结构的流程类似于:

  1. OCI Connector HubOCI Logging 读取日志。
  2. OCI Connector Hub 将日志数据写入 OCI 流处理
  3. Kafka Beat Open Collector 从 OCI Streaming 中读取数据。
  4. LogRhythm 分析和处理运营活动的数据。

此体系结构支持以下组件:

  • 日志记录
    日志记录是一项高度可扩展且完全托管的服务,它允许您从云端资源访问以下类型的日志:
    • 审计日志:与审计服务发出的事件相关的日志。
    • 服务日志:由各个服务发出的日志,如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
    • 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
  • 服务连接器

    Oracle Cloud Infrastructure Connector Hub 是一个云消息总线平台,可编排 OCI 服务之间的数据移动。可以使用服务连接器将数据从源服务移动到目标服务。服务连接器还允许您选择性地指定在将数据交付到目标服务之前要对数据执行的任务(例如函数)。

    您可以使用 Oracle Cloud Infrastructure Connector Hub 为安全信息和事件管理 (SIEM) 系统快速构建日志记录聚合框架。

  • Oracle Cloud Infrastructure Streaming 提供了一个完全托管、可扩展且持久的存储解决方案,可以摄取连续的大量数据流,以便您实时使用和处理。您可以使用流处理来摄取高容量数据,例如应用日志、运行状况遥测、Web 点击流数据;或用于在发布 - 订阅消息传递模式中连续生成和处理数据的其他用例。

关于必需的服务和角色

此解决方案需要以下服务:

  • OCI 日志记录
  • OCI Connector 中心
  • LogRhythm 打开收集器
  • LogRhythm Kafka Beat

这些是每个服务所需的角色。

服务名:资源类型 需要 ...
OCI 日志log-groups 创建和管理日志组和日志对象。
OCI Connector Hub:ConnectorUsers 配置和管理连接器。
LogRhythm 打开收集器 安装并配置 LogRhythm 的打开收集器。
LogRhythm Kafka Beat 配置并初始化 Kafka Beat。

要获取所需的资源,请参阅 Oracle 产品、解决方案和服务。有关 LogRhythm 所需角色的信息,请参见 Initialize Kafka Beat