Конфигурация КОМРАД реактора

Реактор - сервис SIEM, выполняющий реакцию на инциденты. Реакция задаётся пользовательсякими скриптами. Скрипты могут быть на любом языке поддерживаемым операционной системой. Реактор позволяет работать с неограниченным количеством скриптов реакции и запускает скрипт реакции до записи инцидента, получая прямой сигнал от коррелятора, при этом не учитываются правила агрегации инцидентов.

Для редактирования конфигурационного файла выполните команду:

sudo nano /etc/echelon/komrad/komrad-reactor.yaml

ListenHTTP: ":3440" (1)
ListenGRPC: ":3441" (2)
LoggingDirectory: /var/log/echelon/komrad/ (3)
ScriptDirectory: /opt/echelon/komrad/komrad-reactor/scripts (4)
Interpreters: (5)
  bash: /usr/bin/bash
  lua: /usr/bin/lua
  py: /usr/bin/env python3
  sh: /bin/sh

1	настройка адреса для прослушивания входящих соединений по протоколу HTTP;
2	настройка адреса для прослушивания входящих соединений по протоколу gRPC;
3	путь к директории, куда будут попадать логи скриптов реакции. Логи представляют из себя текстовые файлы собранного вывода stdout и stderr, название файлов соответствует названиям файлов скриптов реации;

Настройка выводов логов приложения

Сервис может отправлять логи сразу в несколько целей: файл, системный журнал ОС, консоль, syslog.

log:
- filename: stdout
  format: color
  filter: ""
  levels:
  - all

Включить вывод логов в консоль для режима отладки приложения:

log:
- filename: stdout
  format: color
  filter: ""
  levels: [all]

Включить вывод логов в файл с ротацией:

log:
- filename: "/var/log/echelon/komrad/service.log"
  format: json
  filter: ""
  levels: [info, error, warn, panic, fatal]

Старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.