Конфигурация Диспетчера корреляции
Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.
Для редактирования конфигурационного файла выполните команду:
sudo nano /etc/echelon/komrad/komrad-correlation-dispatcher.yaml
### schema: komrad/correlation-dispatcher/4.1.33
# Диспетчер корреляции — сервис SIEM, отвечающий за организацию корреляции.
# Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции.
# Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.
# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres@127.0.0.1:5432/komrad-preferences?sslmode=disable
# Настройка адреса для прослушивания входящих соединений по протоколу HTTP.
ListenHTTP: 127.0.0.1:3415
# Настройка адреса для прослушивания входящих соединений по протоколу gRPC.
ListenGRPC: 127.0.0.1:3416
# Настройки вывода логов приложения.
# Сервис может отправлять логи сразу в несколько целей -- файл, системный журнал ОС, консоль, syslog.
# Включить вывод логов в консоль для режима отладки приложения
# - filename: stdout
# format: color
# filter: ""
# levels: [all]
# Включить вывод логов в файл с ротацией.
# ВАЖНО: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.
# - filename: "/var/log/echelon/komrad/service.log"
# format: json
# возможно задать выражение для фильтрации выводимых логов
# filter: ""
# levels: [info, error, warn, panic, fatal]
log:
- filename: systemd/journal
format: json
filter: ""
levels:
- info
- error
- panic
- fatal
- warn
# В этой секции собраны настройки Контроллера корреляторов, встроенного в Диспетчер корреляции.
CorrelatorController:
# Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
CorrelatorDB: postgres://postgres@127.0.0.1:5432/komrad-preferences?sslmode=disable
# Путь к исполняемому файлу коррелятора.
CorrelatorExecutable: /usr/bin/komrad-correlator
# Количество секунд, на которое будет расширено окно корреляции. Может быть использовано для компенсации возможного
# непостоянного запоздания фильтрованных событий. Увеличивает потребление памяти и процессорного времени. Крайне
# не рекомендуется устанавливать значение менее 30-ти, т.к. данные имеют свойство иногда запаздывать. Значение
# по-умолчанию — 60, оно будет присвоено, если будет получено значение 0.
WindowExpanding: 60
# Директория, куда Контроллер корреляторов будет писать логи корреляторов. Если такой директории не существует, она
# будет создана. Необходимо наличие прав на запись в указанную директорию, иначе корреляторы не будут запус каться.
LoggingDirectory: /var/log/echelon/komrad/correlators
# Адрес KOMRAD-реактора, чтобы корреляторы могли запускать реакцию на инцидент.
ReactorGRPCAddr: 127.0.0.1:3441
bus:
servers:
- nats://[ip]:3490
user: komrad
password: pass
user-credentials: ""
tls:
disable: false
ServerName: ""
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
system-pool: false
min-version: "1.3"
client-auth: require-and-verify-client-cert
tuning:
# Возможность установить время ожидания при соединении.
connect-timeout: 10s
# Возможность установить максимальное количество попыток повторного подключения.
max-reconnects: 1000000
# Устанавливает максимальное количество времени, в течение которого мы будем ждать ответа.
max-wait: 0s
# Параметр для установки периода для клиентских команд ping.
ping-interval: 2m
# Возможность установить максимальное количество запросов ping,
# которые могут остаться без ответа сервера, прежде чем закрыть соединение.
max-pings-outstanding: 2
# Устанавливает максимальное количество незавершенных асинхронных публикаций,
# которые могут быть одновременно запущены.
publish-async-max-pending: 0
# Интервал переподключения.
reconnect-interval: 5s
# Возможность установить время ожидания между попытками повторного подключения.
reconnect-wait: 1s
# Устанавливает соединение в состояние повторного подключения, если оно не может подключиться.
retry-on-failed-connect: false
starttimeout: 10m
connections:
# Настройки подключения к другим сервисам.
komrad-server-grpc:
addr: 127.0.0.1:3401
insecure: false
trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
cert: /var/lib/echelon/komrad/certs/client.pem
cert-key: /var/lib/echelon/komrad/certs/client-key.pem