Конфигурация Диспетчера корреляции

Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.

Для редактирования конфигурационного файла выполните команду:

sudo nano /etc/echelon/komrad/komrad-correlation-dispatcher.yaml
### schema: komrad/correlation-dispatcher/4.1.33
# Диспетчер корреляции — сервис SIEM, отвечающий за организацию корреляции.
# Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции.
# Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.
# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres@127.0.0.1:5432/komrad-preferences?sslmode=disable
# Настройка адреса для прослушивания входящих соединений по протоколу HTTP.
ListenHTTP: 127.0.0.1:3415
# Настройка адреса для прослушивания входящих соединений по протоколу gRPC.
ListenGRPC: 127.0.0.1:3416
# Настройки вывода логов приложения.
# Сервис может отправлять логи сразу в несколько целей -- файл, системный журнал ОС, консоль, syslog.
# Включить вывод логов в консоль для режима отладки приложения
#  - filename: stdout
#    format: color
#    filter: ""
#    levels: [all]
# Включить вывод логов в файл с ротацией.
# ВАЖНО: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.
# - filename: "/var/log/echelon/komrad/service.log"
#   format: json
# возможно задать выражение для фильтрации выводимых логов
#   filter: ""
#   levels: [info, error, warn, panic, fatal]
log:
- filename: systemd/journal
  format: json
  filter: ""
  levels:
  - info
  - error
  - panic
  - fatal
  - warn
# В этой секции собраны настройки Контроллера корреляторов, встроенного в Диспетчер корреляции.
CorrelatorController:
  # Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
  CorrelatorDB: postgres://postgres@127.0.0.1:5432/komrad-preferences?sslmode=disable
  # Путь к исполняемому файлу коррелятора.
  CorrelatorExecutable: /usr/bin/komrad-correlator
  # Количество секунд, на которое будет расширено окно корреляции. Может быть использовано для компенсации возможного
  # непостоянного запоздания фильтрованных событий. Увеличивает потребление памяти и процессорного времени. Крайне
  # не рекомендуется устанавливать значение менее 30-ти, т.к. данные имеют свойство иногда запаздывать. Значение
  # по-умолчанию — 60, оно будет присвоено, если будет получено значение 0.
  WindowExpanding: 60
  # Директория, куда Контроллер корреляторов будет писать логи корреляторов. Если такой директории не существует, она
  # будет создана. Необходимо наличие прав на запись в указанную директорию, иначе корреляторы не будут запускаться.
  LoggingDirectory: /var/log/echelon/komrad/correlators
  # Адрес KOMRAD-реактора, чтобы корреляторы могли запускать реакцию на инцидент.
  ReactorGRPCAddr: 127.0.0.1:3441
bus:
  servers:
  - nats://[ip]:3490
  user: komrad
  password: pass
  user-credentials: ""
  tls:
    disable: false
    ServerName: ""
    TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
    Cert: /var/lib/echelon/komrad/certs/client.pem
    CertKey: /var/lib/echelon/komrad/certs/client-key.pem
    system-pool: false
    min-version: "1.3"
    client-auth: require-and-verify-client-cert
  tuning:
    # Возможность установить время ожидания при соединении.
    connect-timeout: 10s
    # Возможность установить максимальное количество попыток повторного подключения.
    max-reconnects: 1000000
    # Устанавливает максимальное количество времени, в течение которого мы будем ждать ответа.
    max-wait: 0s
    # Параметр для установки периода для клиентских команд ping.
    ping-interval: 2m
    # Возможность установить максимальное количество запросов ping,
    # которые могут остаться без ответа сервера, прежде чем закрыть соединение.
    max-pings-outstanding: 2
    # Устанавливает максимальное количество незавершенных асинхронных публикаций,
    # которые могут быть одновременно запущены.
    publish-async-max-pending: 0
    # Интервал переподключения.
    reconnect-interval: 5s
    # Возможность установить время ожидания между попытками повторного подключения.
    reconnect-wait: 1s
    # Устанавливает соединение в состояние повторного подключения, если оно не может подключиться.
    retry-on-failed-connect: false
starttimeout: 10m
connections:
  # Настройки подключения к другим сервисам.
  komrad-server-grpc:
    addr: 127.0.0.1:3401
    insecure: false
    trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
    cert: /var/lib/echelon/komrad/certs/client.pem
    cert-key: /var/lib/echelon/komrad/certs/client-key.pem

Последнее изменение 24.03.2023