Перейти к основному содержимому
Версия: 4.5.X

Утилита CLI

KOMRAD-CLI - это набор утилит, упрощающих работу с KOMRAD Enterprise SIEM

client - подключение контекста/кластера KOMRAD Enterprise SIEM

client restart-filters addr

  • client restart-filters addr - адрес KOMRAD (по умолчанию http://localhost:3400)

  • debug - log debug information

  • help - помощь для фильтров перезапуска

  • pass - пароль, необходимый для подключения

  • timeout - тайм-аут между активациями фильтра (например, 5s|1m|1h|1d)

  • tls - включить TLS

  • tls-ca-cert - сертификат клиента CA для проверки

  • tls-cert - файл сертификата сервера

  • tls-key - закрытый ключ для сертификата сервера

  • tls-verify - включить TLS с проверкой клиента

  • user - имя пользователя, необходимое для подключения

completion - сгенерировать скрипт автозаполнения для указанной оболочки

Оболочки:

  • bash - создать скрипт автозаполнения для bash
  • fish - генерация скрипта автозаполнения команды
  • powershell - создать скрипт автозаполнения для powershell
  • zsh - создать скрипт автозаполнения для zsh

config - просмотр, редактирование конфигурационных файлов KOMRAD Enterprise SIEM

cue - экспорт, оценка файлов cue lang

Export

  • language - языковой комментарий в конфигурационных файлах (по умолчанию ru) режим переменных
  • name_config - имя конфигурации для генерации
  • os - имя целевой ОС (текущее, если не указано)
  • out - тип выходного файла
  • schema_dir - путь к папке с шаблонами
  • variables_input - путь к файлу переменных
  • help - помощь при экспорте
  • language - языковой комментарий в конфигурационных файлах (по умолчанию ru)
  • mode - режим переменных
  • name_config - имя конфигурации для генерации
  • os - имя целевой ОС (текущее, если не указано)
  • out - тип выходного файла
  • output_dir - путь к выходному dir
  • output_file - путь к выходному файлу
  • schema_dir - путь к папке с шаблонами
  • variables_input - путь к файлу переменных

generate - создание конфигурационных файлов

multi-node

  • gen-settings string - путь к загрузке файла с настройками генератора конфигураций (названия схем, формата данных, различных режимов)
  • help - справка по multi-node
  • input-file - путь для загрузки файла, хранящего информацию для различного набора конфигураций
  • language - язык комментариев в конфигурационных файлах (по умолчанию ru)
  • out - путь для записи сгенерированных конфигурационных файлов
  • templates-folder - путь для загрузки cue-файлов, которые выступят шаблонами для конфигов

single-node help - справка по single-node

  • language - язык комментариев в конфигурационных файлах (по умолчанию ru)
  • manifest - путь для загрузки общего конфигурационного файла
  • out - путь для записи конфигурационных файлов служб

migrate - перенос конфигурационных файлов KOMRAD

Флаги:

  • --comment - перенос комментариев из старого конфигурационного файла
  • --help - справка по migrate
  • --out - путь к директории для записи обновленных конфигурационных файлов (по умолчанию в ту директорию, где находятся старые конфигурационные файлы, к имени старого конфигурационного файла добавляется ".bak")

db - инструменты миграции и обслуживания БД

clickhouse

Backup

  • tables - печать списка таблиц
  • create - создание новой резервной копии
  • create_remote - создание и загрузка
  • upload - загрузка резервной копии в удаленное хранилище
  • list - печать списка резервных копий
  • download - загрузка резервной копии с удаленного хранилища
  • restore - создание схемы и восстановление данных из резервной копии
  • restore_remote - загрузка и восстановление
  • delete - удаление конкретной резервной копии
  • default-config - печать конфигурации по умолчанию
  • print-config - печать текущей конфигурации
  • clean - удалите данные в папке shadow из всех папок path, доступных из system.disks
  • server - запустите сервер API
  • help - показывает список команд или справку по одной команде

events-ttl

  • db - имя базы данных ClickHouse (по умолчанию komrad_events)
  • duration - настройка длительности TTL в нужном формате (по умолчанию 30d)
  • help - справка по events-ttl
  • host - IP-адрес хоста с сервером ClickHouse (по умолчанию 127.0.0.1)
  • pass - пароль пользователя ClickHouse
  • port - порт сервера ClickHouse (по умолчанию 9000)
  • user - имя пользователя ClickHouse (по умолчанию komrad)

Настроить горячее/холодное хранение событий в ClickHouse

komrad-cli db clickhouse events-volumes-ttl --ttl 190 --ttlCold 30 --user komrad --pass pass

Работает для изменений в большую и меньшую стороны. После выполнения команды необходимо вручную обновить параметры в komrad-processor.yaml:

ttl:
  # Время хранения событий и событий таблиц индексов по сработавшим фильтрам в БД. (в днях)
  ttl-days: 190
  # Использовать горячее/холодное хранилище событий"
  # Должны быть настроены хранилища ('hot_volume' и 'cold_volume')
  use-hot-cold-storage: false
  # Время хранения событий в горячем хранилище перед переносом в холодное хранилище (в днях)
  ttl-hot-to-cold-days: 190
tls:
  disable: true
  ServerName: ""
  TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
  Cert: /var/lib/echelon/komrad/certs/client.pem
  CertKey: /var/lib/echelon/komrad/certs/client-key.pem
  system-pool: false
  min-version: "1.3"
  client-auth: require-and-verify-client-cert

Другие способы настройки горячего/холодного хранения событий описаны здесь

postgres

inspect

  • inspect - проверка PostgreSQL

push

  • from - файл снимка
  • help - справка по push
  • ignore-dirty - импорт в таблицу игнорируя флаг dirty
  • migrations - используемые миграции БД: preferences, core (по умолчанию preferences)
  • pg-pass-file - расположение файла pgpass (файл паролей) в файловой системе (по умолчанию .pgpass) *pg-version -версия Postgres (по умолчанию 9.6)
  • schema - схемы для отправки (по умолчанию preferences)
  • target-dbname - название выбранной БД (по умолчанию komrad-preferences)
  • target-host - имя хоста с экземпляром БД PostgreSQL (по умолчанию localhost)
  • target-port - порт, прослушиваемый экземпляром PostgreSQL (по умолчанию 5432)
  • target-ssl-cert-path - путь к tls-сертификатам
  • target-ssl-key-path - путь к tls-ключам
  • target-ssl-mode - режим TLS (по умолчанию disable)
  • target-ssl-root-cert-path - путь к корневому tls-сертификату
  • target-username - имя пользователя PostgreSQL (по умолчанию postgres)
  • temporary-dbname - название выбранной БД (по умолчанию komrad-preferences)
  • temporary-host - имя хоста с экземпляром БД PostgreSQL (по умолчанию localhost)
  • temporary-port - порт, прослушиваемый экземпляром PostgreSQL (по умолчанию 5432)
  • temporary-ssl-cert-path - путь к tls-сертификатам
  • temporary-ssl-key-path - путь к tls-ключам
  • temporary-ssl-mode - режим TLS (по умолчанию disable)

snapshot

  • data-only - экспортировать только данные (по умолчанию true)
  • dbname - название выбранной БД (по умолчанию komrad-preferences)
  • help - справка по snapshot
  • host - имя хоста с экземпляром БД PostgreSQL (по умолчанию localhost)
  • ignore-dirty - импорт в таблицу игнорируя флаг dirty
  • pg-pass-file - расположение файла pgpass (файл паролей) в файловой системе (по умолчанию .pgpass)
  • port - порт, прослушиваемый экземпляром PostgreSQL (по умолчанию 5432)
  • schemas - схемы для отправки (по умолчанию preferences)
  • ssl-cert-path - путь к tls-сертификатам
  • ssl-key-path - путь к tls-ключам
  • ssl-mode - режим TLS (по умолчанию disable)
  • ssl-root-cert-path - путь к корневому tls-сертификату
  • tables - таблицы БД для экспорта (по умолчанию preferences.plugins)
  • target - путь для сохранения снимка
  • username - имя пользователя PostgreSQL (по умолчанию postgres)

grpc - терминальный клиент gRPC с REPL

cli

desc

  • list output - предоставляет функцию перечисления служб или методов gRPC, принадлежащих служб - вывод в формате json или name (по умолчанию name)
  • help -отобразить справку и выйти (по умолчанию false).
  • call enrich - расширенный вывод ответа включает заголовок, сообщение, трейлер и статус (по умолчанию false)
  • emit-defaults - отображать поля со значениями по умолчанию (по умолчанию false)
  • output - вывод в формате json или curl (по умолчанию curl)
  • file - файл скрипта, который будет выполняться (используется только режим cli)
  • help - отобразить справку и выйти (по умолчанию false)

repl

Функции:

  • package - пакет по умолчанию
  • service - сервис по умолчанию
  • help - отобразить справку и выйти (по умолчанию false)

Флаги:

  • --silent - скрыть избыточную информацию при выводе (по умолчанию false)
  • --path - пути к протофайлам, разделенные запятыми (по умолчанию [ ])
  • --proto - имена протофайлов, разделенные запятыми (по умолчанию [ ])
  • --host - имя хоста gRPC-сервера
  • --port - порт gRPC-сервера
  • --header - заголовки по умолчанию, которые устанавливаются для каждого запроса, например foo=bar (по умолчанию [ ])
  • --web - использовать gRPC-web-протокол
  • reflection - использовать gRPC-отражение (по умолчанию false)
  • --tls - использовать защищенное tls-соединение (по умолчанию false)
  • --cacert - файл корневого сертификата для верификации сервера
  • --cert - файл сертификата для двусторонней аутентификации tls (работает совместно с ключом
    --certkey)
  • --certkey - файл закрытого ключа для двусторонней аутентификации tls (работает совместно с флагом --cert string)
  • --servername - переопределить имя сервера, используемое для проверки имени хоста (игнорируется, если отключен --tts)
  • --edit - отредактировать конфигурационный файла проекта используя $EDITOR (по умолчанию false)
  • --edit-global - отредактировать глобальный конфигурационный файла используя $EDITOR (по умолчанию false)
  • --verbose - подробный вывод (по умолчанию false)
  • --version - отобразить версию и выйти (по умолчанию false)
  • --help - отобразить справку и выйти (по умолчанию false)

help - отобразить справку и выйти

init - настройка доступа к серверу KOMRAD Enterprise SIEM

Флаги

  • --automatic - запрашивает только пароль, использует другие значения из аргументов и переменных окружения [KOMRAD_CLI_AUTOMATIC]
  • --ca-cert-path - путь к корневому сертификату TLS [KOMRAD_CLI_CA_CERT_PATH] (по умолчанию /var/lib/echelon/komrad/certs/ca.pem)
  • --client-cert-key-path - путь к клиентскому ключу-сертификату TLS [KOMRAD_CLI_CLIENT_CERT_KEY_PATH] (по умолчанию /var/lib/echelon/komrad/cert/client-key.pem)
  • --client-cert-path - путь к клиентскому сертификату TLS [KOMRAD_CLI_CLIENT_CERT_PATH] (по умолчанию /var/lib/echelon/komrad/certs/client.pem)
  • --cluster - имя кластера KOMRAD, установите значение default, если вы управляете единственной установкой KOMRAD в вашей сети [KOMRAD_CLI_CLUSTER] (по умолчанию default)
  • --context-name - имя для контекста. Используйте значение по умолчанию, если вы не работаете с несколькими установками KOMRAD [KOMRAD_CLI_CONTEXT] (по умолчанию default)
  • --help - справка по init
  • --insecure - разрешение небезопасного соединения в обход плохих сертификатов TLS [KOMRAD_CLI_INSECURE]
  • --server-addr - адрес с портом и HTTP-схемой для запуска экземпляра KOMRAD-сервера в кластер [KOMRAD_CLI_SERVER_ADD] (по умолчанию https://localhost:3400)
  • --tenant-id - принудительно использовать определенный идентификатор пользователя для всех операций в выбранном контексте. Полезно в многопользовательских установках KOMRAD [KOMRAD_CLI_TENANT_ID]
  • --user - имя пользователя для входа в API [KOMRAD_CLI_USER_NAME] (по умолчанию admin)
  • --vault-addr - адрес хранилища можно переопределить, установив переменную среды VAULT_ADD. (по умолчанию https://127.0.0.1:8200)
  • --vault-enabled - использовать хранилище для секретов

version - информация о версии клиента и сервера

Флаги

  • --client - только версия клиента (без версии сервера)
  • --output - вывод в формате yaml или json
  • --short - вывод номера версии

install - установка KOMRAD Enterprise SIEM

singlenode - вспомогательная установка KOMRAD Enterprise SIEM на одном узле

toolbox - терминальные инструменты: repl, watch и другие

celgo - запустите интерактивный CEL-GO REPL

Последнее обновление