elasticsearch - 如果 Logstash ArcSight 模块、Logstash CEF 编解码器和 FIlebeat decode_cef 处理器不起作用，如何将 ArcSight CEF 解析为 Elasticsearch？

问题描述

我的目标是将 ArcSight CEF 消息从 ArcSight Transformation Hub 以解析的形式传输到 Elasticsearch。但是，Elastic Stack 提供的所有输入选项都不起作用：

1. Logstash ArcSight 模块根本无法通过 SSL 与 Transformation Hub 工作：Kafka Consumer Failed to load SSL keystore (Logstash ArcSight module) for any keystore type and path

2. Logstash with Kafka Plugin 确实可以使用 SSL 从 ArcSight Transofration Hub 读取数据，但是它只读取大约 50% 的数据，因此无论我尝试哪种设置（我也尝试过 9 Logstash 实例，每个读取 9 个 Transformation Hub / Kafka 管道中的 1 个，但仍获得与单个 Logstash 实例相同数量的事件）：

   • https://discuss.elastic.co/t/logstash-slow-input-for-tcp-cef-codec/199808
   • https://discuss.elastic.co/t/never-possible-to-ingest-more-than-2-5k-with-cef-codec-enabled/152496

3. Filebeat 还通过带有客户端证书身份验证的 SSL 与 ArcSight Transformation Hub 配合使用。但是，它使用 decode_cef 处理器。如果没有修改过的 filebeat 管道，它就无法解析一些 Windows 事件并且具有最大 5k EPS（我需要 50k EPS）。使用自定义管道，它可能可以解析所有内容，但几乎没有事件进入 Elasticsearch（每小时 5000 个事件，而不是每秒 50,000 个事件）。

所以问题是如果 Elastic 提供的 3 个“标准”选项都不起作用，如何将数据从 ArcSight 获取到 Elasticsearch？

标签： elasticsearchapache-kafkalogstashfilebeatarcsight