Распределённая установка KOMRAD на Astra Linux Special Edition 1.6

В данном разделе описана процедура распределённой установки KOMRAD Enterprise SIEM на двух узлах Astra Linux Special Edition 1.6. Базы данных (PostgreSQL и ClickHouse) устанавливаются на первый узел, а компоненты KOMRAD -- на второй.

Подготовка

Перед установкой убедитесь, что:

• оба узла работают под управлением Astra Linux Special Edition версии не ниже 1.6;
• между узлами обеспечена сетевая связность;
• выполнены требования к системе.

Подключение репозиториев с оптических дисков

Если установка пакетов производится с оптического носителя, выполните следующие команды:

sudo apt-cdrom add
sudo apt update
sudo apt dist-upgrade

Узел 1: установка баз данных

На первом узле устанавливаются базы данных PostgreSQL и ClickHouse, а также интеграционная шина сообщений.

Запуск установщика

Запустите установку KOMRAD в ручном режиме и подтвердите следующие шаги:

1. Предоставить информацию об открытых IP-адресах и именах хоста для обеспечения безопасности TLS и CORS -- Y
2. Создание сертификатов TLS для защиты веб-интерфейса и/или межсервисного взаимодействия (mTLS) -- Y
3. Установка базы данных PostgreSQL из репозитория пакетов ОС -- Y
4. Установка базы данных ClickHouse -- Y
5. Установка интеграционной шины сообщений (komrad-bus) -- Y

Остальные шаги пропустите.

Настройка PostgreSQL

Откройте файл конфигурации PostgreSQL:

sudo nano /etc/postgresql/<версия>/main/postgresql.conf

Установите параметр прослушивания на всех интерфейсах:

listen_addresses = '*'

Откройте файл pg_hba.conf:

sudo nano /etc/postgresql/<версия>/main/pg_hba.conf

Добавьте строку для разрешения подключений с узла KOMRAD:

host all postgres <IP-адрес_KOMRAD>/32 md5

Перезапустите PostgreSQL:

sudo systemctl restart postgresql

Настройка ClickHouse

Откройте файл конфигурации ClickHouse. В зависимости от формата конфигурации используется XML или YAML.

Для формата XML:

sudo nano /etc/clickhouse-server/config.xml

Измените параметр:

<listen_host>0.0.0.0</listen_host>

Для формата YAML:

sudo nano /etc/clickhouse-server/config.yaml

Измените параметр:

listen_host: 0.0.0.0

Перезапустите ClickHouse:

sudo systemctl restart clickhouse-server.service

Настройка межсетевого экрана

Откройте порты ClickHouse для узла с KOMRAD:

sudo ufw allow from <IP-адрес_KOMRAD>/32 to any port 8123
sudo ufw allow from <IP-адрес_KOMRAD>/32 to any port 9000

Узел 2: установка KOMRAD

На втором узле выполните полную установку KOMRAD Enterprise SIEM с помощью установщика.

Настройка подключения к PostgreSQL

Откройте конфигурационный файл komrad-server:

sudo nano /etc/echelon/komrad/komrad-server.yaml

В блоке database -> pg укажите параметры подключения к удалённому серверу PostgreSQL:

pg:
    db: komrad-preferences
    host: <IP-адрес_узла_1>
    port: 5432
    tlsmode: disable
    user: postgres
    password: "<пароль>"

Настройка подключения к ClickHouse

Откройте конфигурационный файл komrad-processor:

sudo nano /etc/echelon/komrad/komrad-processor.yaml

В блоке storage укажите параметры подключения к удалённому серверу ClickHouse:

kind: clickhouse
  clickhouse:
    name: komrad_events
    user: komrad
    password: "<пароль>"
    host: <IP-адрес_узла_1>
    port: 9000

Перезапуск сервисов

Перезапустите сервисы KOMRAD:

sudo systemctl restart komrad-server komrad-processor

Проверка установки

После завершения настройки убедитесь, что:

• сервисы komrad-server и komrad-processor на узле 2 запущены и работают без ошибок;
• веб-интерфейс KOMRAD доступен;
• события поступают в систему и сохраняются в ClickHouse.

sudo systemctl status komrad-server komrad-processor