KOMRAD-bus
Микросервис предназначен для передачи событий и прочей информации между сервисами KOMRAD Enterprise SIEM:
- микросервисное сообщение
- управление очередями
Принцип работы
KOMRAD-bus использует JetStream, который проходит локальную сборку у нас, при этом мы удаляем из него лишнее — то, что не требуется для работы системы. JetStream используется в качестве инструмента обеспечения безопасности. Если вы отправляете событие на коллектор, то при доступности шины коллектор направит событие именно в KOMRAD-bus. KOMRAD-bus управляет JetStream, поэтому имеется 2 конфигурационных файла.
KOMRAD-bus является "сердцем" KOMRAD Enterprise SIEM, при его остановке события перестанут циркулировать в системе. Поэтому мы надёжно защищаем его. Сервисы, которые обращаются к �нему, должны пройти проверку сертификатами и логин-паролем.
Возможно вынесение KOMRAD-bus на отдельный узел.
Для изменения настроек логина, пароля, ip или hostname необходимо поочерёдно поменять их в файлах.
Добавление отдельного логина на коллекторы
Пример добавления отдельного логина и пароля для коллекторов:
-
Откройте
komrad-bus.confsudo nano /etc/echelon/komrad/komrad-bus.conf -
Пролистайте вниз и добавьте еще один вариант логина и пароля
authorization {
timeout: 0.5
# Users listed with permissions.
users = [
{user: komrad, password: "pass"}
{user: collector, password: "hardpassword"}
]
} -
Выполните перезапуск
bussudo systemctl restart komrad-bus -
Поменяйте настройки в коллекторах и перезапустите их
komrad-snmp-collector.yamlsudo nano /etc/echelon/komrad/komrad-snmp-collector.yamlkomrad-sql-collector.yamlsudo nano /etc/echelon/komrad/komrad-sql-collector.yamlkomrad-file-collector.yamlsudo nano /etc/echelon/komrad/komrad-file-collector.yamlkomrad-http-collector.yamlsudo nano /etc/echelon/komrad/komrad-http-collector.yamlkomrad-syslog-collector.yamlsudo nano /etc/echelon/komrad/komrad-syslog-collector.yamlkomrad-xflow-collector.yamlsudo nano /etc/echelon/komrad/komrad-xflow-collector.yaml -
Выполните перезапуск
sudo systemct restart komrad-sql-collector komrad-snmp-collector komrad-file-collector komrad-http-collector komrad-syslog-collector komrad-xflow-collector
Изменение пользователя и пароля для bus
Стоит отметить, что при изменении пароля или пользователя для шины KOMRAD, потребуется это сделать во всех сервисах, с которыми она взаимодействует.
authorization {
timeout: 0.5
# Users listed with permissions.
users = [
{user: NEWUSER, password: "NEWPASS"}
]
}
Файлы для изменения
komrad-bus.conf
sudo nano /etc/echelon/komrad/komrad-bus.conf
komrad-bus.yaml
sudo nano /etc/echelon/komrad/komrad-bus.yaml
komrad-server.yaml
sudo nano /etc/echelon/komrad/komrad-server.yaml
komrad-correlation-dispatcher
sudo nano /etc/echelon/komrad/komrad-correlation-dispatcher
komrad-incident-manager.yaml
sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml
komrad/komrad-server.yaml
sudo nano /etc/echelon/komrad/komrad-server.yaml
komrad-processor.yaml
sudo nano /etc/echelon/komrad/komrad-processor.yaml
komrad-snmp-collector.yaml
sudo nano /etc/echelon/komrad/komrad-snmp-collector.yaml
komrad-sql-collector.yaml
sudo nano /etc/echelon/komrad/komrad-sql-collector.yaml
komrad-file-collector.yaml
sudo nano /etc/echelon/komrad/komrad-file-collector.yaml
komrad-http-collector.yaml
sudo nano /etc/echelon/komrad/komrad-http-collector.yaml
komrad-syslog-collector.yaml
sudo nano /etc/echelon/komrad/komrad-syslog-collector.yaml
komrad-xflow-collector.yaml
sudo nano /etc/echelon/komrad/komrad-xflow-collector.yaml