Конфигурация Менеджера инцидентов

Сервис SIEM, отвечающий за работу с инцидентами. Регистрирует новые инциденты, полученные от корреляторов. Хранит инциденты, позволяет их просматривать, редактивровать и удалять.

Для редактирования конфигурационного файла выполните команду:

sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml
DB: postgres://postgres:pass@localhost:5432/komrad-preferences?sslmode=disable (1)
TenantID: 0 (2)
ListenHTTP: ":3410" (3)
ListenGRPC: ":3411" (4)
secrets: (5)
  keysize: 32
  password: default-insecure-password
  salt: default-insecure-salt
1 подключение к БД PostgreSQL в формате URL;
2 идентификатор организации;
3 адрес для прослушивания входящих соединений по протоколу HTTP;
4 адрес для прослушивания входящих соединений по протоколу gRPC;
5 пароль и соль для защиты секретов (паролей, учётных данных), хранимых в БД Комрад;

Настройка выводов логов приложения

Сервис может отправлять логи сразу в несколько целей: файл, системный журнал ОС, консоль, syslog.

log:
- filename: stdout
  format: color
  filter: ""
  levels:
  - all

Включить вывод логов в консоль для режима отладки приложения:

log:
- filename: stdout
  format: color
  filter: ""
  levels: [all]

Включить вывод логов в файл с ротацией:

log:
- filename: "/var/log/echelon/komrad/service.log"
  format: json
  filter: ""
  levels: [info, error, warn, panic, fatal]

WARNING: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.

Настройка подключения к очереди сообщений

MQ:
  ClientID: incident-manager
  ClusterID: polygon
  URL: nats://localhost:3490

Настройка подключения к другим сервисам

connections:
  komrad-server-grpc:
    addr: localhost:3401
    insecure: true
    trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
    cert: /var/lib/echelon/komrad/certs/client.pem
    cert-key: /var/lib/echelon/komrad/certs/client-key.pem
   komrad-correlation-dispatcher-grpc:
    addr: localhost:3416
    insecure: true