Перейти к основному содержимому
Версия: 4.5.X

Dr.Web Server с базой SQLite

При установке Dr.Web базой по умолчанию является SQLite. Со списком баз можно ознакомиться на сайте разработчика. SQLite чаще всего используется для локального хранения, поэтому для защищённого сбора необходимо установить локальный агент, который будет по защищённому каналу передавать данные в KOMRAD Enterprise SIEM. В комплект поставки входит SQL-collector для Windows (windows/sql-collector.exe) и Linux (deb/komrad-sql-collector).

Настройка на Windows

  1. На сервере, где лежит база, необходимо загрузить sql-collector.exe и komrad-sql-collector.yaml

  2. В файлах конфигурации komrad-sql-collector.yaml указать messenger

    # Адрес интеграционной шины KOMRAD
    bus-url: nats://ip адрес:3490
  3. Создать папки C:\Program Files\Echelon\komrad\sql-collector

  4. Положить sql-collector.yaml и sql-collector.exe в папку

    C:\Program Files\Echelon\komrad\sql-collector

  5. Открыть в данной папке Файл ⇒ Запустить PowerShell от имени Администратора и установить

    sql-collector.exe как службу

    .\sql-collector.exe --service install -c .\komrad-sql-collector.yaml
    предупреждение

    Ожидаемый ответ: "Successfully sent install signal"

  6. Скопировать client-key.pem, client.pem, ca.pem и поместить их в папку C:\Program Files\Echelon\komrad\certs

    подсказка

    Сертификаты расположены на машине с KOMRAD в каталоге /var/lib/echelon/komrad/certs

  7. Запустить созданную службу с помощью команды

    .\sql-collector.exe --service start -c .\komrad-sql-collector.yaml
    предупреждение

    Ожидаемый ответ: Successfully sent start signal

Настройка на Linux

  1. На узле-источнике создайте директорию, в которую переместите из дистрибутива KOMRAD deb-пакет

    komrad-sql-collector.deb

  2. Установите из папки komrad-sql-collector командой:

    sudo dpkg -i ./komrad-sql-collector*.deb
  3. Откройте файл komrad-sql-collector.yaml командой:

    sudo nano /etc/echelon/komrad/komrad-sql-collector.yaml
  4. В файлах конфигурации komrad-sql-collector.yaml указать:

    Адрес интеграционной шины KOMRAD
    bus:
    servers:
    - nats://ip_адрес KOMRAD:3490
  5. Сохраните файл и перезагрузите komrad-sql-collector командой:

    sudo systemctl restart komrad-sql-collector.service
    предупреждение

    Для проверки: systemctl status komrad-sql-collector.service (Должен быть статус: "active" ("running"))

Подключение в UI KOMRAD Enterprise SIEM

  • Во вкладке "Настройки коллекторов" ⇒ "SQL" у Вас появится новый коллектор с именем источника

  • Зайдите в появившейся коллектор и добавьте источник выберете тип базы SQLite

  • В строке подключения:

    • Для Windows ⇒ file:C:...\database.sqlite

    • Для Linux ⇒ file:/.../database.sqlite

предупреждение

Убедитесь, что на каталог, где находится файл базы данных, имеются права чтения и исполнения

  • Создайте запрос или используйте шаблон для Dr.Web

  • Нажмите проверить для корректировки запроса

  • Сохраните источник