Конфигурация Диспетчера корреляции

Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.

Для редактирования конфигурационного файла выполните команду:

sudo nano /etc/echelon/komrad/komrad-correlation-dispatcher.yaml

DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode=disable (1)
ListenHTTP: ":3415" (2)
ListenGRPC: ":3416" (3)

1	подключание к БД PostreSQL в формате URL;
2	адрес для прослушивания входящих соединений по протоколу HTTP;
3	адрес для прослушивания входящих соединений по протоколу gRPC;

Настройка выводов логов приложения

Сервис может отправлять логи сразу в несколько целей: файл, системный журнал ОС, консоль, syslog.

log:
- filename: stdout
  format: color
  filter: ""
  levels:
  - all

Включить вывод логов в консоль для режима отладки приложения:

log:
- filename: stdout
  format: color
  filter: ""
  levels: [all]

Включить вывод логов в файл с ротацией:

log:
- filename: "/var/log/echelon/komrad/service.log"
  format: json
  filter: ""
  levels:  [info, error, warn, panic, fatal]

WARNING: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.

Настройка контроллера корреляторов, встроенного в диспетчер корреляторов

CorrelatorController:
    CorrelatorDB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode=disable (1)
    CorrelatorExecutable: ./build/bin/komrad-correlator (2)
    WindowExpanding: 60 (3)
    LoggingDirectory: ./build/komrad-correlator (4)
    ReactorGRPCAddr: localhost:3441 (5)

1	подключение к БД PostgreSQL в формате URL для корреляторов;
2	путь к исполняемому файлу коррелятора;
3	количество секунд, на которое будет расширено окно корреляции. Может быть использовано для компенсации возможного непостоянного запоздания фильтрованых событий. Увеличивает потребление памяти и процессорного времени. Крайне не рекомендуется устанавливать значение менее 30-ти, т.к данные имеют свойство иногда запаздывать. Значение по умолчанию - 60, оно будет присвоено, если будет получено значение 0;
4	директория, куда контроллер корреляторов будет писать логи коррелятора. Если такой директории не существует, она будет создана. Необходимо наличие прав на запись в указанную директорию, иначе корреляторы не будут запускаться;
5	адрес КОМРАД реактора, для того чтобы корреляторы могли запускать реакцию на инцидент;

mq:
  type: nats
  kafka:
    BrokerAddresses:
    - redpanda.echelon.lan:9093
    IsolationLevel: read uncommitted
    SASL:
      Enable: false
      AuthIdentity: ""
      Handshake: true
      Mechanism: ""
      Password: ""
      SCRAMAuthzID: ""
      User: ""
      Version: 0
  nats:
    url: nats://localhost:3490
    tls:
      disable: true
  topics:
    FilteredEvents: localhost.komrad.filtered-events
connections:
  komrad-server-grpc: (1)
    addr: localhost:3401
    insecure: true
    trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
    cert: /var/lib/echelon/komrad/certs/client.pem
    cert-key: /var/lib/echelon/komrad/certs/client-key.pem

1	настройки подключения к другим сервисам;