Přeskočit obsah

Konfigurace LogMan.io Correlatoru

Nejdříve je nutné specifikovat, kterou knihovnu použít pro načítání deklarací, která může být buď ZooKeeper nebo Soubor.

Model

Pro spuštění aplikace ji zahrňte do modelu a klikněte na tlačítko Použít.

/Site/model.yaml
define:
  type: rc/model

services:
  lmio-correlator:
    instances:
      <tenant>-1:  # Nahraďte názvem vašeho tenantu
        node: <node>  # Nahraďte názvem uzlu
        asab:
          config:
            tenant:
              name: <tenant>  # Nahraďte názvem vašeho tenantu
            correlator:
              groups:  # Specifikujte cesty pro korelace, každou na samostatném řádku
                /Correlations/Bitdefender/
                /Correlations/Complex/
                /Correlations/Firewall/
                /Correlations/Fortinet/
                /Correlations/Microsoft/

Příklad

[library]
providers=zk://library

Vrstva knihovny ZooKeeper vyžaduje konfigurační sekci zookeeper.

[zookeeper]
servers=zookeeper-1:2181,zookeeper-2:2181,zookeeper-3:2181

Také každá běžící instance parseru musí znát, které skupiny se mají načítat z knihoven a ke kterému tenantu patří, viz níže:

[tenant]
ids=mytenant

[declarations]
groups=Firewall Common Authentication

# Složitý event lane (volitelné)
[eventlane]
path=/EventLanes/mytenant/complex.yaml
  • groups - názvy skupin, které se mají použít z knihovny, oddělené mezerami; pokud je skupina umístěna v podsložce složky, použijte jako oddělovač šikmou čáru, např. /Correlators/Firewall

Dále je potřeba vědět, které Kafka témy se mají použít jako default fallback vstupy a výstupy (pokud nejsou specifikované v korelacích v sekci logsources a složité event lane).

Připojení ke Kafce je také potřeba nakonfigurovat pro vědění, ke kterým Kafka serverům se připojit.

# Připojení ke Kafce
[kafka]
bootstrap_servers=lm1:19092;lm2:29092;lm3:39092

# Výchozí Kafka téma, ze kterého se čte, když není specifikován žádný logsource v korelačním pravidle (volitelné)

[pipeline:CorrelatorsPipeline:KafkaSource]
topic=lmio-events
group_id=lmio_correlator_firewall

# Výchozí Kafka téma pro trigger eventů, pokud není specifikován složitý event (volitelné)

[pipeline:OutputPipeline:KafkaSink]
topic=lmio-output

Poslední povinná sekce specifikuje, které nastavení Elasticsearch umožňuje pracovat s Lookups. Pro více informací viz sekci Lookups.

# Persistentní úložiště pro Lookups

[elasticsearch]
url=http://elasticsearch:9200

Docker Compose

docker-compose.yaml
services:
  lmio-correlator:
    image: docker.teskalabs.com/lmio/lmio-correlator:VERSION
    volumes:
    - ./lmio-correlator:/conf
    - /data/ssd/lookups:/lookups
    - /data/hdd/log/lmio-correlator:/log
    - /data/ssd/correlators/lmio-correlator:/data

Nahraďte lmio-correlator názvem instance korelatoru.

Korelator potřebuje znát svou konfigurační cestu, cestu k lookups (složka může být prázdná, záleží na použití lookups), cestu k logování a cestu pro ukládání svých dat.

Varování

Cesta k datům je povinná a musí být umístěna na rychlém disku, tj. SSD.