Утилита CLI
KOMRAD-CLI - это набор утилит, упрощающих работу с KOMRAD Enterprise SIEM
client - подключение контекста/кластера KOMRAD Enterprise SIEM
client restart-filters addr
-
client restart-filters addr - адрес KOMRAD (по умолчанию http://localhost:3400)
-
debug - log debug information
-
help - помощь для фильтров перезапуска
-
pass - пароль, необходимый для подключения
-
timeout - тайм-аут между активациями фильтра (например,
5s|1m|1h|1d
) -
tls - включить
TLS
-
tls-ca-cert - сертификат клиента
CA
для проверки -
tls-cert - файл сертификата сервера
-
tls-key - закрытый ключ для сертификата сервера
-
tls-verify - включить
TLS
с проверкой клиента -
user - имя пользователя, необходимое для подключения
completion - сгенерировать скрипт автозаполнения для указанной оболочки
Оболочки:
- bash - создать скрипт автозаполнения для bash
- fish - генерация скрипта автозаполнения команды
- powershell - создать скрипт автозаполнения для
powershell
- zsh - создать скрипт автозаполнения для
zsh
config - просмотр, редактирование конфигурационных файлов KOMRAD Enterprise SIEM
cue - экспорт, оценка файлов cue lang
Export
- language - языковой комментарий в конфигурационных файлах (по умолчанию
ru
) режим переменных - name_config - имя конфигурации для генерации
- os - имя целевой ОС (текущее, если не указано)
- out - тип выходного файла
- schema_dir - путь к папке с шаблонами
- variables_input - путь к файлу переменных
- help - помощь при экспорте
- language - языковой ком ментарий в конфигурационных файлах (по умолчанию
ru
) - mode - режим переменных
- name_config - имя конфигурации для генерации
- os - имя целевой ОС (текущее, если не указано)
- out - тип выходного файла
- output_dir - путь к выходному
dir
- output_file - путь к выходному файлу
- schema_dir - путь к папке с шаблонами
- variables_input - путь к файлу переменных
generate - создание конфигурационных файлов
multi-node
- gen-settings string - путь к загрузке файла с настройками генератора конфигураций (названия схем, формата данных, различных режимов)
- help - справка по
multi-node
- input-file - путь для загрузки файла, хранящего инфо рмацию для различного набора конфигураций
- language - язык комментариев в конфигурационных файлах (по умолчанию
ru
) - out - путь для записи сгенерированных конфигурационных файлов
- templates-folder - путь для загрузки cue-файлов, которые выступят шаблонами для конфигов
single-node help - справка по single-node
- language - язык комментариев в конфигурационных файлах (по умолчанию
ru
) - manifest - путь для загрузки общего конфигурационного файла
- out - путь для записи конфигурационных файлов служб
migrate - перенос конфигурационных файлов KOMRAD
Флаги:
- --comment - перенос комментариев из старого конфигурационного файла
- --help - справка по
migrate
- --out - путь к директории для записи обновленных конфигурационных файлов (по умолчанию в ту директорию, где находятся старые конфигурационные файлы, к имени старого конфигурационного файла добавляется
".bak"
)
db - инструменты миграции и обслуживания БД
clickhouse
Backup
- tables - печать списка таблиц
- create - создание новой резервной копии
- create_remote - создание и загрузка
- upload - загрузка резервной копии в удаленное хранилище
- list - печать списка резервных копий
- download - загрузка резервной копии с удаленного хранилища
- restore - создание схемы и восстановление данных из резервной копии
- restore_remote - загрузка и восстановление
- delete - удаление конкретной резервной копии
- default-config - печать конфигурации по умолчанию
- print-config - печать текущей конфигурации
- clean - удалите данные в папке
shadow
из всех папокpath
, доступных изsystem.disks
- server - запустите сервер API
- help - показывает список команд или справку по одной команде
events-ttl
- db - имя базы данных
ClickHouse
(по умолчаниюkomrad_events
) - duration - настройка длительности
TTL
в нужном формате (по умолчанию30d
) - help - справка по
events-ttl
- host - IP-адрес хоста с сервером
ClickHouse
(по умолчанию127.0.0.1
) - pass - пароль пользователя
ClickHouse
- port - порт сервера
ClickHouse
(по умолчанию9000
) - user - имя пользователя
ClickHouse
(по умолчаниюkomrad
)
Настроить горячее/холодное хранение событий в ClickHouse
komrad-cli db clickhouse events-volumes-ttl --ttl 190 --ttlCold 30 --user komrad --pass pass
Работает для изменений в большую и меньшую стороны. После выполнения команды необходимо вручную обновить параметры в komrad-processor.yaml
:
ttl:
# Время хранения событий и событий таблиц индексов по сработавшим фильтрам в БД. (в днях)
ttl-days: 190
# Использовать горячее/холодное хранилище событий"
# Должны быть настроены хранилища ('hot_volume' и 'cold_volume')
use-hot-cold-storage: false
# Время хранения событий в горячем хранилище перед переносом в холодное хранилище (в днях)
ttl-hot-to-cold-days: 190
tls:
disable: true
ServerName: ""
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
system-pool: false
min-version: "1.3"
client-auth: require-and-verify-client-cert
Другие способы настройки горячего/холодного хранения событий описаны здесь
postgres
inspect
- inspect - проверка
PostgreSQL
push
- from - файл снимка
- help - справка по
push
- ignore-dirty - импорт в таблицу игнорируя флаг
dirty
- migrations - используемые миграции БД:
preferences
,core
(по умолчаниюpreferences
) - pg-pass-file - расположение файла
pgpass
(файл паролей) в файловой системе (по умолчанию.pgpass
) *pg-version -версияPostgres
(по умолчанию9.6
) - schema - схемы для отправки (по умолчанию
preferences
) - target-dbname - название выбранной БД (по умолчанию
komrad-preferences
) - target-host - имя хоста с экземпляром БД
PostgreSQL
(по умолчаниюlocalhost
) - target-port - порт, прослушиваемый экземпляром
PostgreSQL
(по умолчанию5432
) - target-ssl-cert-path - путь к tls-сертификатам
- target-ssl-key-path - путь к tls-ключам
- target-ssl-mode - режим
TLS
(по умолчаниюdisable
) - target-ssl-root-cert-path - путь к корневому tls-сертификату
- target-username - имя пользователя
PostgreSQL
(по умолчаниюpostgres
) - temporary-dbname - название выбранной БД (по умолчанию
komrad-preferences
) - temporary-host - имя хоста с экземпляром БД
PostgreSQL
(по умолчаниюlocalhost
) - temporary-port - порт, прослушиваемый экземпляром
PostgreSQL
(по умолчанию5432
) - temporary-ssl-cert-path - путь к tls-сертификатам
- temporary-ssl-key-path - путь к tls-ключам
- temporary-ssl-mode - режим
TLS
(по умолчаниюdisable
)
snapshot
- data-only - экспортировать только данные (по умолчанию
true
) - dbname - название выбранной БД (по умолчанию
komrad-preferences
) - help - справка по
snapshot
- host - имя хоста с экземпляром БД
PostgreSQL
(по умолчаниюlocalhost
) - ignore-dirty - импорт в таблицу игнорируя флаг
dirty
- pg-pass-file - расположение файла pgpass (файл паролей) в файловой системе (по умолчанию
.pgpass
) - port - порт, прослушиваемый экземпляром
PostgreSQL
(по умолчанию5432
) - schemas - схемы для отправки (по умолчанию
preferences
) - ssl-cert-path - путь к tls-сертификатам
- ssl-key-path - путь к tls-ключам
- ssl-mode - режим
TLS
(по умолчаниюdisable
) - ssl-root-cert-path - путь к корневому tls-сертификату
- tables - таблицы БД для экспорта (по умолчанию
preferences.plugins
) - target - путь для сохранения снимка
- username - имя пользователя
PostgreSQL
(по умолчаниюpostgres
)
grpc - терминальный клиент gRPC с REPL
cli
desc
- list output - предоставляет функцию перечисления служб или методов
gRPC
, принадлежащих служб - вывод в форматеjson
илиname
(по умолчаниюname
) - help -отобразить справку и выйти (по умолчанию
false
). - call enrich - расширенный вывод ответа включает заголовок, сообщение, трейлер и статус (по умолчанию
false
) - emit-defaults - отображать поля со значениями по умолчанию (по умолчанию
false
) - output - вывод в формате
json
илиcurl
(по умолчаниюcurl
) - file - файл скрип та, который будет выполняться (используется только режим
cli
) - help - отобразить справку и выйти (по умолчанию
false
)
repl
Функции:
- package - пакет по умолчанию
- service - сервис по умолчанию
- help - отобразить справку и выйти (по умолчанию
false
)
Флаги:
- --silent - скрыть избыточную информацию при выводе (по умолчанию
false
) - --path - пути к протофайлам, разделенные запятыми (по умолчанию
[ ]
) - --proto - имена протофайлов, разделенные запятыми (по умолчанию
[ ]
) - --host - имя хоста gRPC-сервера
- --port - порт gRPC-сервера
- --header - заголовки по умолчанию, которые устанавливаются для каждого запроса, например
foo=bar
(по умолчанию[ ]
) - --web - использовать gRPC-web-протокол
- reflection - использовать gRPC-отражение (по умолчанию
false
) - --tls - использовать защищенное tls-соединение (по умолчанию
false
) - --cacert - файл корневого сертификата для верификации сервера
- --cert - файл сертификата для двусторонней аутентификации
tls
(работает совместно с ключом--certkey
) - --certkey - файл закрытого ключа для двусторонней аутентификации
tls
(работает совместно с флагом--cert string
) - --servername - переопределить имя сервера, используемое для проверки имени хоста (игнорируется, если отключен
--tts
) - --edit - отредактировать конфигурационный файла проекта используя
$EDITOR
(по умолчаниюfalse
) - --edit-global - отредактировать глобальный конфигурационный файла используя
$EDITOR
(по умолчаниюfalse
) - --verbose - подробный вывод (по умолчанию
false
) - --version - отобразить версию и выйти (по умолчанию
false
) - --help - отобразить справку и выйти (по умолчанию
false
)