Parametrii Serviciului
Data Server
Parametrii serviciului care se găsesc în fișierele de configurare a serviciului:
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| compressData | boolean | true | Indicator de compresie a mesajelor |
| encryptData | boolean | true | Indicator de criptare a mesajelor |
| throttleCollection | string | "100000" | Numărul de evenimente stocate în coada de așteptare a mesajelor la care se va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate în memoria cache la nivel local |
| mqHost | string | "127.0.0.1" | Adresa serviciilor din coada de așteptare |
| mqPort | string | "5672" | Portul serviciilor din coada de așteptare |
| mqUserName | string | "cq" | Numele de utilizator al serviciilor din coada de așteptare |
| mqPassword | string | "*" | Parola criptată a serviciilor din coada de așteptare |
| mqUseSSL | boolean | false | Dacă se utilizează serviciile de coadă tls |
| tenant | string | "" | Nume Tenant |
| useHTTPSTransport | boolean | false | Dacă se utilizează transportul https în locul serviciului de coadă de mesaje |
| HttpTransportUrl | string | "127.0.0.1" | Https transport url |
| CLIENT_ACCESS_TOKEN | string | "DEFAULT_CLIENT-ACCESS-TOKEN" | Token de acces pentru transport Https |
| UDPSyslogPort | string | "5140" | Portul serverului syslog UDP cu proces de date |
| UnprocessedUDPSyslogPort | string | "5141" | Portul serverului syslog UDP fără procesare de date |
| TCPSyslogPortEn | boolean | true | Indicator de activare a serverului syslog TCP |
| TCPSyslogPort | string | "32004" | Portul serverului syslog TCP cu proces de date |
| UDPNetflowPort | string | "2055" | Portul serverului de captare a fluxului net UDP |
| UDPCEFPort | string | "5142" | Portul serverului în format UDP CEF |
| UDPIntrustPort | string | "5143" | Portul serverului de format intrust UDP |
| UDPListenIP | string | "0.0.0.0" | Adresă IPv4 Pentru a asculta serverele UDP |
| CacheMinimumFreeSpace | string | "2048" | Spațiu minim disponibil pe disc pentru a scrie date, în caz de restricționare |
| MaximumContainerValue | string | "500000" | Numărul maxim de date stocate în container, în cazul în care datele din portul udp se vor arunca și se va emite o alertă. |
| debugLevel | string | "0" | Nivelul de debug: 0-FATAL ERROR, mesaj de Eroare 1-Mesaje WARNING 2-Mesaje INFO 3-Mesaje DEBUG |
| UDPSyslogPortEn | boolean | false | Portul serverului syslog UDP cu proces de activare a datelor |
| UnprocessedUDPSyslogPortEn | boolean | false | |
| UDPNetflowPortEn | boolean | false | UDP netflow capture server enable |
| UDPCEFPortEn | boolean | false | Server în format UDP CEF enable |
| UDPIntrustPortEn | boolean | false | UDP intrust format server enable |
Data Acquisition
Parametrii serviciului care se găsesc în fișierele de configurare a serviciului:
config.ini file
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| Alternate_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului de baze de date mysql alternativ |
| Config_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului de baze de date mysql |
| Config_DB_DB | string | config | Acesta este numele bazei de date a serverului de baze de date mysql. |
| Config_DB_USER | string | root | Acesta este numele de utilizator al serverului de baze de date mysql |
| Config_DB_PASSWORD | string | **** | Aceasta este parola serverului de baze de date mysql. |
Următorii sunt parametrii setați în setările aplicației:
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| EL_Url | string | 127.0.0.1 | Adresa de stocare pe termen scurt (Online DataStorage) |
| EL_Port | string | 9200 | Port de stocare pe termen scurt (Online DataStorage) |
| LIC_PATH | string | /var/opt/cyberquest/ dataacquisition/conf/lic |
Calea fișierului de licență |
| CLEANUP_CRON | string | * * * * * | depreciat |
| bulk_size | string | 2000 | Mărimea volumului pentru a trimite la stocare pe termen scurt (Online DataStorage) |
| no_of_threads | string | 3 | depreciat |
| ServiceDebugLevel | string | 2 | Nivelul de debug: 0-FATAL ERROR, mesaj de Eroare 1-Mesaje WARNING 2-Mesaje INFO 3-Mesaje DEBUG |
| RMQ_host | string | 127.0.0.1 | Adresa serviciilor din coada de așteptare |
| RMQ_username | string | cq | Numele de utilizator al serviciilor din coada de așteptare |
| RMQ_password | string | ** | Parola criptată a serviciilor din coada de așteptare |
| RMQ_queue | string | events | Servicii din coada de așteptare a evenimentelor primite Nume coadă |
| maxmindb_path | string | /var/opt/cyberquest/ dataacquisition/bin/GeoIP.mmdb |
Locația fișierului bazei de date maxmindb |
| run_collection_servers | boolean | false | depreciat |
| throttle_queue | string | 100000 | Numărul de evenimente stocate în coada de așteptare a mesajelor la care se va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate în memoria cache locală. |
| cache_path | string | /data/dataacquisition/cache/ | Locația fișierelor cache |
| collection_unique_keys | string | Computer,EventLog,agent_guid | Identificator unic de eveniment pe baza câmpurilor enumerate, pentru a identifica un activ |
| el_shards | string | 2 | Număr-șablon de cioburi pentru stocarea pe termen scurt |
| use_http_ES_DA_client | string | 1 | Dacă se utilizează transportul http pentru stocarea pe termen scurt (Online DataStorage), dacă este fals transportul va fi utilizat prin alte mijloace prin intermediul serviciului de coadă (fanout) |
| sendRawData | string | 0 | Dacă trimiteți datele brute la stocare pe termen scurt (Online DataStorage) |
| writeEventPath | string | 0 | Dacă se trimite calea evenimentului din sistemul CQ către stocarea pe termen scurt (Online DataStorage). |
| validateDataForEL | string | 1 | depreciat |
| GetterThreadNo | string | 3 | Numărul de fire pentru a citi din coada de evenimente primite |
| ParserThreadNo | string | 3 | Numărul de fire pentru analizarea datelor |
| RMQPusherThreadNo | string | 2 | Numărul de fire pentru a împinge datele către serviciul de coadă |
| ELPusherThreadNo | string | 2 | Numărul de fire de execuție pentru a împinge datele în memoria pe termen scurt (Online DataStorage) |
| supressRawData | string | 1 | Dacă se șterg datele brute pentru a le trimite la stocare pe termen lung (stocare de date) |
| RedisServerURL | string | 127.0.0.1 | Adresa de stocare bazată pe memorie |
| RedisServerPORT | string | 6379 | Port de stocare bazat pe memorie |
| ResyncCache | string | 0 | Memoria cache de resincronizare, dacă este utilizată în analizoarele implicite, va fi resetată la 0 după ce a fost setată la 1 |
| UseDefaultParsers | string | 1 | Dacă se utilizează analizoare definite intern pentru toate evenimentele |
| EL_minim_free_space | string | 3072 | Spațiul minim disponibil pe disc utilizat de stocarea pe termen scurt (Online DataStorage), în caz de restricționare |
| Cache_minim_free_space | string | 3072 | Spațiu minim disponibil pe disc pentru a scrie date, în caz de restricționare |
| LoadDatabase | string | false | Dacă se încarcă baza de date stocată în dosarul sql |
| debug_level | string | 1 | Nivelul de debug: 0-FATAL ERROR, mesaj de Eroare 1-Mesaje WARNING 2-Mesaje INFO 3-Mesaje DEBUG |
Data Correlation
Parametrii serviciului care se găsesc în fișierele de configurare a serviciului:
config.ini file
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| Alternate_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului de baze de date mysql alternativ |
| Config_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului de baze de date mysql |
| Config_DB_DB | string | config | Acesta este numele bazei de date a serverului de baze de date mysql. |
| Config_DB_USER | string | root | Acesta este numele de utilizator al serverului de baze de date mysql |
| Config_DB_PASSWORD | string | *** | Aceasta este parola serverului de baze de date mysql. |
Următorii sunt parametrii setați în setările aplicației:
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| AplicationGUID | string | 334CFC20-F2D3-A7D1-D3B7-DBB79ED69B5C | Acesta este ID-ul unic global al serverului, reprezentat de 32 de cifre hexazecimale minuscule/superioare, afișate în cinci grupe separate prin cratimă, sub forma 8-4-4-4-4-12 pentru un total de 36 de caractere. |
| EL_Url | string | 127.0.0.1 | Adresa de stocare pe termen scurt (Online DataStorage) |
| EL_Port | string | 9200 | Port de stocare pe termen scurt (Online DataStorage) |
| DebugLevel | string | 2 | Nivelul de debug: 0-FATAL ERROR, mesaj de Eroare 1-Mesaje WARNING 2-Mesaje INFO 3-Mesaje DEBUG |
| RMQueueAddress | string | 127.0.0.1 | Address of the queuing services |
| RMQueuePort | string | 5672 | Portul serviciilor de coadă de așteptare |
| RMQueueUserName | string | cq | Numele de utilizator al serviciilor de coadă de așteptare |
| RMQueuePassword | string | ** | Parola criptată a serviciilor de coadă de așteptare |
| RMQueueName | string | DataCorrelation | Servicii de coadă de așteptare a evenimentelor primite Nume coadă |
| throttle_queue | string | 100000 | Numărul de evenimente stocate în coada de așteptare a mesajelor la care se va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate în memoria cache la nivel local |
| cache_path | string | /data/datacorrelation/cache/ | Locația fișierelor cache |
| RedisServerURL | string | 127.0.0.1 | Adresa de stocare bazată pe memorie |
| RedisServerPORT | string | 6379 | Port de stocare bazat pe memorie |
| restart | bool | 0 | Repornește serviciul de corelare a datelor |
| PercolatorThreadPoolSize | string | 3 | Grup de fire pentru percolator |
| PercolatorNumberOfContainers | string | 1 | Numărul de containere care vor fi utilizate pentru percolare |
Data Storage
Parametrii serviciului care se găsesc în fișierele de configurare a serviciului:
conf.xml file
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| dbDriver | string | com.mysql.jdbc.Driver | Acesta este driverul serverului de baze de date mysql. |
| dbUserName | string | root | Acesta este numele de utilizator al serverului de baze de date mysql |
| dbPass | string | **** | Aceasta este parola serverului de baze de date mysql. |
| dbUrl | string | jdbc:mysql://127.0.0.1:3306/config | Aceasta este adresa serverului de baze de date mysql |
| dbAlternateUrl | string | jdbc:mysql://127.0.0.1:3306/config | Aceasta este adresa serverului de baze de date mysql alternativ |
| serverGuid | string | D39498A9-1C85-0379-1E78-C161E6FFEEEA | Acesta este identificatorul unic global (GUID) al serverului. |
Următorii sunt parametrii setați în setările aplicației:
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| maxEventsPerFile | string | 20000 | Specifică numărul maxim de evenimente permise pentru fiecare fișier stocat |
| fileWriterTimeout | string | 60 | Specifică intervalul de așteptare pentru scriitorul de evenimente |
| mqUserName | string | cq | Specifică numele de utilizator administrativ pentru accesul la serviciul MQ |
| mqPassword | string | **** | Specifică parola utilizatorului pentru serviciul MQ |
| mqHost | string | 127.0.0.1 | Specifies the MQ service server. În arhitecturile distribuite, acesta poate fi diferit de serverul CYBERQUEST implicit. |
| mqVhost | string | / | Specifies the MQ service virtual server. În arhitecturile distribuite, acesta poate fi diferit de serverul CYBERQUEST implicit. |
| mqPort | string | 5672 | Specifică portul de comunicare în rețea utilizat de serviciul MQ |
| mqExchangeName | string | eventsExchange | Specifică numele de schimb utilizat de serviciul MQ |
| mqQueueName | string | jobCommands | Specifică numele cozii MQ |
| mqReceiveQueueType | string | fanout | Specifică tipul de coadă de recepție MQ |
| mqRouting | string | agents | Specifică calea de rutare pentru cozile de mesaje |
| mqReceiveCommandExchangeName | string | eventsExchange | Specifică numele schimbului de comenzi MQ Receive |
| mqReceiveCommandQueueName | string | jobCommands | Specifică numele cozii de așteptare a comenzii de recepție MQ |
| mqReceiveCommandQueueType | string | direct | Specifică tipul de coadă de comandă de recepție MQ |
| mqReceiveCommandRouting | string | servers | Specifică calea de rutare a comenzii MQ Receive Command |
| mqSendExchangeName | string | Specifică numele schimbului MQ Send | |
| mqSendQueueName | string | archive | Specifică numele cozii MQ Send |
| mqSendRouting | string | agents | Specifică calea de rutare MQ Send |
| mqSendQueueType | string | direct | Specifică tipul de coadă MQ Send |
| encryptionPublicKeyFilePath | string | /var/opt/cyberquest/ encryption/datastorage/ public_key.txt |
Specifică calea fișierului pentru cheia publică definită |
| encryptionPrivateKeyFilePath | string | /var/opt/cyberquest/ encryption/datastorage/ private_key.txt |
Specifică calea fișierului pentru cheia privată definită |
| elasticClusterName | string | ES. | Specifică numele clusterului Online DataStorage |
| elasticHostName | string | 127.0.0.1 | Specifică numele gazdei Online DataStorage |
| encryptionPrivateKeyPassword | string | *** | Specifică parola pentru cheia privată definită |
| encryptionPrivateKeyPasswordPath | string | /var/opt/cyberquest/ encryption/datastorage/ privateKeyPassword.txt |
Specifică calea fișierului pentru parola de cheie privată definită |
| fileImportThreads | string | 5 | Specifică câte fire de execuție sunt utilizate pentru import |
| mqQueueType | string | direct | Specifică tipul de coadă de așteptare |
| mqReceiveExchangeName | string | DA.publish | Specifică numele schimbului de primire MQ |
| mqReceiveQueueName | string | DataStorage | Specifică numele cozii de primire MQ |
| mqReceiveRouting | string | agents | Specifică cheia de rutare MQ Receive |
| mqAlternateHost | string | 127.0.0.1 | Specifică numele alternativ al gazdei care trebuie utilizat în cazul în care coada curentă este moartă |
| mqVHost | string | / | Specifică gazda virtuală MQ Receive |
Windows Agent
Puteți găsi toate variabilele configurabile în tabelul următor:
| parametrii | tip | valoare default | descriere |
|---|---|---|---|
| eventSyncQueueSize | integer | 10000 | Numărul de evenimente trimise la fiecare 5 secunde |
| compressData | boolean | true | Comprimarea sau nu a datelor de eveniment |
| encryptData | boolean | true | Criptarea sau nu a datelor de eveniment |
| cleanupOlderLogsDays | integer | 7 | Curățarea automată a jurnalelor agentului |
| throttleCollection | integer | 10000 | Pragul de la care va începe treptat să colecteze mai puține evenimente (această valoare este dată de numărul de mesaje care așteaptă în coada serverului de procesare CYBERQUEST). |
| mqHost | string | 192.168.200.128 | Hostul serverului CYBERQUEST |
| mqUserName | string | cq | Numele de utilizator al serverului CYBERQUEST |
| mqPassword | string | VRW7Zl7RreWg9Q== | Hash al parolei serverului CYBERQUEST |
| HttpTransportUrl | string | false | Folosit pentru implementări în cloud și url pentru trimiterea de date către serverul cloud CYBERQUEST. |
| CLIENT_ACCESS_TOKEN | string | false | Token de autentificare pentru cloud-ul serverului CYBERQUEST |
| mqUseSSL | boolean | false | Utilizați sau nu criptarea întregii conexiuni cu serverul CYBERQUEST. |