KOMRAD-процессор
/etc/echelon/komrad/komrad-processor.yaml
### schema: komrad/komrad-processor/4.1.33
# Лицензия на продукт, можно вставить путь к файлу лицензии в пол е path ЛИБО текст лицензии base64 в поле license.
license:
# Приоритетно - путь к файлу лицензии
path: /etc/echelon/komrad/license/
# Опционально - текст лицензии закодированный в base64
license: ""
# Канал SMTP для отправки уведомлений об окончании
transport: SMTP Service
email: info@info.ru
# Интервал отправки e-mail сообщений (в часах)
AlertInterval: 2
# Настройки хранилища событий информационной безопасности
storage:
# Тип хранилища, в данной версии поддерживается только:
# - clickhouse - ClickHouse v22.3-LTS
kind: clickhouse
clickhouse:
# Название БД
name: komrad_events
user: komrad
password: pass
# Адрес хоста с ClickHouse-server
host: 127.0.0.1
# Порт ClickHouse-server
port: 9000
debug: false
# Для включения TLS в общении с ClickHouse, необходимо указать `sslmode`: 'secure` И блок tls должен быть заполнен
sslmode: disable
# Режим вставки - выбор опции: синхронная или асинхронная вставка
insert_type: async
dial-timeout: 30s
# Сжатие для сетевого взаимодействия с ClickHouse - lz4 либо zstd либо без сжатия если пусто
compress: ""
connection-open-strategy: in-order
max-open-conns: 15
max-idle-conns: 10
conn-max-lifetime: 1h
settings: {}
ttl:
# Время хранения событий и событий таблиц индексов по сработавшим фильтрам в БД. (в днях)
ttl-days: 190
# Использовать горячее/холодное хранилище событий"
# Должны быть настроены хранилища ('hot_volume' и 'cold_volume')
use-hot-cold-storage: false
# Время хранения событий в горячем хранилище перед переносом в холодное хранилище (в днях)
ttl-hot-to-cold-days: 190
tls:
disable: true
ServerName: ""
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
system-pool: false
min-version: "1.3"
client-auth: require-and-verify-client-cert
# Настройки сбора событий ИБ из очереди
collection:
transport:
# Временной интервал повторного соединения при обрыве связи с очередью
reconnectwait: 5s
# Число параллельных обработчиков событий, число можно увеличивать в интервале 1 .. (4-8 x число ядер) для увеличения скорости обработки событий ИБ за счёт роста потребления ресурсов узла
# Рекомендуемое значение - 20
parallelconsumerscount: 1
# Параметры блока автоматического обнаружения новых активов
assetsdiscovery:
# Интервал сброса новых обнаруженных активов в модуль Сканер Активов
flushinterval: 1m0s
# Отключить модуль автоматического обнаружения активов
disable: false
# Параметры блока индексации событий ИБ
indexation:
debug: false
# Таймаут сохранения индекса (при превышении индекс будет утерян)
putindextimeout: 3m0s
starttimeout: 10m
bus:
servers:
- nats://10.0.5.197:3490
user: komrad
password: pass
user-credentials: ""
tls:
disable: false
ServerName: ""
TrustedCA: /var/lib/echelon/komrad/certs/ca.pem
Cert: /var/lib/echelon/komrad/certs/client.pem
CertKey: /var/lib/echelon/komrad/certs/client-key.pem
system-pool: false
min-version: "1.3"
client-auth: require-and-verify-client-cert
tuning:
# Возможность установить время ожидания при соединении.
connect-timeout: 10s
# Возможность установить максимальное количество попыток повторного подключения.
max-reconnects: 1000000
# Устанавливает максимальное количество времени, в течение которого мы будем ждать ответа.
max-wait: 0s
# Параметр для установки периода для клиентских команд ping.
ping-interval: 2m
# Возможность установить максимальное количество запросов ping,
# которые могут остаться без ответа сервера, прежде чем закрыть соединение.
max-pings-outstanding: 2
# Устанавливает максимальное количество незавершенных асинхронных публикаций,
# которые могут быть одновременно запущены.
publish-async-max-pending: 0
# Интервал переподключения.
reconnect-interval: 5s
# Возможность установить время ожидания между попытками повторного подключения.
reconnect-wait: 1s
# Устанавливает соединение в состояние повторного подключения, если оно не может подключиться.
retry-on-failed-connect: false
# Настройка gRPC сервера
grpc:
addr: 127.0.0.1:3405
# Настройки вывода логов приложения.
# Сервис может отправлять логи сразу в несколько целей -- файл, системный журнал ОС, консоль, syslog.
# Включить вывод логов в консоль для режима отладки приложения
# - filename: stdout
# format: color
# filter: ""
# levels: [all]
# Включить вывод логов в файл с ротацией.
# ВАЖНО: старые файлы с логами не удаляются, необходимо производить мониторинг использования диска.
# - filename: "/var/log/echelon/komrad/service.log"
# format: json
# возможно задать выражение для фильтрации выводимых логов
# filter: ""
# levels: [info, error, warn, panic, fatal]
log:
- filename: systemd/journal
format: json
filter: ""
levels:
- info
- error
- panic
- fatal
- warn