Конфигурация KOMRAD-поиска
KOMRAD-поиск - сервис SIEM, предоставляющий возможность искать по событиям ИБ, а также в фоновом режиме.
Для редактирования конфигурационного файла выполните команду:
sudo nano /etc/echelon/komrad/komrad-search.yaml
Настройка подключения к БД PostgreSQL
search-db:
db: komrad-search
host: localhost
password: pass
port: 5432
tlsmode: disable
user: postgres
Настройка подключения к БД ClickHouse
events-db:
name: komrad_events
user: komrad
password: pass
host: localhost
port: 9000
sslmode: disable
ListenHTTP: ":3455" (1)
ListenGRPC: ":3456" (2)
- Адрес для прослушивания входящих соединений по протоколу HTTP
- Адрес для прослушивания входящих соединений по протоколу gRPC
Настройка выводов логов приложения
Сервис может отправлять логи сразу в несколько целей: файл, системный журнал ОС, консоль, Syslog.
log:
- filename: stdout
format: color
filter: ""
levels:
- all
Включить вывод логов в консоль для режима отладки приложения
log:
- filename: stdout
format: color
filter: ""
levels: [all]
Включить вывод логов в файл с ротацией
log:
- filename: "/var/log/echelon/komrad/service.log"
format: json
filter: ""
levels: [info, error, warn, panic, fatal]
осторожно
Старые файлы с логами не удаляются, необходимо производить мониторинг использования диска
Настройка подключения к сервисам
connections:
komrad-processor-grpc: <.>
addr: localhost:3405
insecure: false
trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
cert: /var/lib/echelon/komrad/certs/client.pem
cert-key: /var/lib/echelon/komrad/certs/client-key.pem
temporal-client:
addr: localhost:7233
insecure: true
trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
cert: /var/lib/echelon/komrad/certs/client.pem
cert-key: /var/lib/echelon/komrad/certs/client-key.pem
namespace: temporal-system
host-port: localhost:7233
Подключение к сервису komrad-processor
по протоколу GRPC