<div dir="ltr">Hello Zeeks<div><br></div><div><br></div><div>Has anyone succeeded to enable Kafka plugin with Zeek 3.1.2 ?  I am trying to modernize the metron-kafka plugin and have partial success.  My problem seems to be with script-land referencing.</div><div><br></div><div>The logger node is loading the plugin OK and connects to the Kafka broker.  The broker IP is redef information found from site/local.zeek.  </div><div><br></div><div>$ bin/zeekctl diag logger-1<br>[logger-1]<br><br>No core file found. <br><br>Zeek 3.1.2-debug<br><br>Zeek plugins:<br>Apache::Kafka - Writes logs to Kafka (dynamic, version 0.3.0)<br><br>==== No reporter.log<br><br>==== stderr.log<br>%7|1587948661.341|RECV|rdkafka#producer-3| [..kafka messages..] .. <br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>But the worker node has a problem referencing existing variable declaration.  The logs-to-kafka.bro script expects it.  There is also suspicion with the Zeek plugins info that is different from the logger node and maybe the problem.<br></div><div><br></div><div>$ bin/zeekctl diag worker-1-1<br>[worker-1-1]<br><br>No core file found. <br><br>Zeek 3.1.2-debug<br><br>Zeek plugins: (none found)   &lt;&lt;&lt; ??? Normal for worker node ??? <br><br>==== No reporter.log<br><br>==== stderr.log<br></div><div><br></div><div>error in /opt/zeek/spool/installed-scripts-do-not-touch/site/custom_plugins/APACHE_KAFKA/scripts/Apache/Kafka/./logs-to-kafka.bro, line 24: unknown identifier logs_to_send, at or near &quot;logs_to_send&quot;<br></div><div><br></div><div><br></div><div><br></div><div>The configuration is not default and explained below:</div><div><br></div><div><br></div><div>The Kafka logger was installed to site/custom_plugins/APACHE_KAFKA</div><div><br></div><div><br></div><div>share/zeek/site/local.zeek uses:</div><div><br></div><div>@load custom_plugins/APACHE_KAFKA/scripts/Apache/Kafka<br></div><div><br></div><div><br></div><div><br></div><div>lib/zeek/plugins/custom_plugins is a symlink to share/zeek/site/custom_plugins<br></div><div><br></div><div><br></div><div>Using the lib symlink seems to be the only way to load the plugin, then the @load statement brings redef customizations and scripts.  This works ok for the logger node but not the worker who cannot interface with the plugin ?</div><div><br></div><div>Another idea is have non-logger nodes bypass loading logs-to-kafka.bro but this isn&#39;t fully understood.</div><div><br></div><div><br></div><div>TIA</div><div><br></div><div>/hovsep</div><div><br></div><div><br></div><div><br></div></div>