Перейти к основному содержимому
Версия: 4.5.X

Диспетчер корреляции

Сервис SIEM, отвечающий за организацию корреляции. Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции. Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.

/etc/echelon/komrad/komrad-correlation-dispatcher.yaml
### schema: komrad/correlation-dispatcher/4.1.33


# Диспетчер корреляции — сервис SIEM, отвечающий за организацию корреляции.
# Позволяет добавлять, редактировать, просматривать, удалять директивы корреляции.
# Выполняет функции контроллера корреляторов, он их запускает, останавливает, наблюдает за ними.

# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres@127.0.0.1:5432/komrad-preferences?sslmode=disable
# Настройка адреса для прослушивания входящих соединений по протоколу HTTP.
ListenHTTP: 127.0.0.1:3415
# Настройка адреса для прослушивания входящих соединений по протоколу gRPC.
ListenGRPC: 127.0.0.1:3416
# Настройки вывода логов приложения.
# Сервис может отправлять логи сразу в несколько целей -- файл, системный журнал ОС, консоль, syslog.
# Включить вывод логов в консоль для режима отладки приложения
#  - filename: stdout
#    format: color
#    filter: ""
#    levels: [all]
# Включить вывод логов в файл с ротацией.
# ВАЖНО: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.
# - filename: "/var/log/echelon/komrad/service.log"
#   format: json
# возможно задать выражение для фильтрации выводимых логов
#   filter: ""
#   levels: [info, error, warn, panic, fatal]
log:
  - filename: systemd/journal
    format: json
    filter: ""
    levels:
      - info
      - error
      - panic
      - fatal
      - warn
# В этой секции собраны настройки Контроллера корреляторов, встроенного в Диспетчер корреляции.
CorrelatorController:
  # Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
  CorrelatorDB: postgres://postgres@127.0.0.1:5432/komrad-preferences?sslmode=disable
  # Путь к исполняемому файлу коррелятора.
  CorrelatorExecutable: /usr/bin/komrad-correlator
  # Количество секунд, на которое будет расширено окно корреляции. Может быть использовано для компенсации возможного
  # непостоянного запоздания фильтрованных событий. Увеличивает потребление памяти и процессорного времени. Крайне
  # не рекомендуется устанавливать значение менее 30-ти, т.к. данные имеют свойство иногда запаздывать. Значение
  # по-умолчанию — 60, оно будет присвоено, если будет получено значение 0.
  WindowExpanding: 60
  # Директория, куда Контроллер корреляторов будет писать логи корреляторов. Если такой директории не существует, она
  # будет создана. Необходимо наличие прав на запись в указанную директорию, иначе корреляторы не будут запускаться.
  LoggingDirectory: /var/log/echelon/komrad/correlators
  # Адрес Комрада-реактора, чтобы корреляторы могли запускать реакцию на инцидент.
  ReactorGRPCAddr: 127.0.0.1:3441
  # Порог преагрегации инцидентов при корреляции - все инциденты в секундном временном окне
  # свыше порогового значения агрегируются в один. Если порог равен нулю, то преагрегация выключена.
  Preaggregation: 100
bus:
  servers:
    - nats://127.0.0.1:3490
  user: komrad
  password: pass
  user-credentials: ""
  tls:
    disable: false
    ServerName: ""
    TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
    Cert: /var/lib/echelon/komrad/certs/client.pem
    CertKey: /var/lib/echelon/komrad/certs/client-key.pem
    system-pool: false
    min-version: "1.3"
    client-auth: require-and-verify-client-cert
  tuning:
    # Возможность установить время ожидания при соединении.
    connect-timeout: 10s
    # Возможность установить максимальное количество попыток повторного подключения.
    max-reconnects: 1000000
    # Устанавливает максимальное количество времени, в течение которого мы будем ждать ответа.
    max-wait: 0s
    # Параметр для установки периода для клиентских команд ping.
    ping-interval: 2m
    # Возможность установить максимальное количество запросов ping, 
    # которые могут остаться без ответа сервера, прежде чем закрыть соединение.
    max-pings-outstanding: 2
    # Устанавливает максимальное количество незавершенных асинхронных публикаций, 
    # которые могут быть одновременно запущены.
    publish-async-max-pending: 0
    # Интервал переподключения.
    reconnect-interval: 5s
    # Возможность установить время ожидания между попытками повторного подключения.
    reconnect-wait: 1s
    # Устанавливает соединение в состояние повторного подключения, если оно не может подключиться.
    retry-on-failed-connect: false
starttimeout: 10m
connections:
  # Настройки подключения к другим сервисам.
  komrad-server-grpc:
    addr: 127.0.0.1:3401
    insecure: false
    trusted-ca: /var/lib/echelon/komrad/certs/ca.pem
    cert: /var/lib/echelon/komrad/certs/client.pem
    cert-key: /var/lib/echelon/komrad/certs/client-key.pem

Последнее обновление