Skip to content

Documentație

Parametrii serviciilor

Data Server

Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:

parametertypedefault valuedescriere
compressDatabooleantrueIndicatorul de compresie a mesajelor
encryptDatabooleantrueIndicatorul de criptare a mesajelor
throttleCollectionstring“100000”Numărul de evenimente stocate în coada de mesaje la care va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate local în cache
mqHoststring“127.0.0.1”Adresa serviciilor de cozi
mqPortstring“5672”Portul serviciilor de cozi
mqUserNamestring“cq”Numele de utilizator al serviciilor de cozi
mqPasswordstring“*******”Parola criptată a serviciilor de cozi
mqUseSSLbooleanfalseDacă se utilizează servicii de cozi tls
tenantstring""Numele tenantului
useHTTPSTransportbooleanfalseDacă se utilizează transport https în locul serviciului de cozi de mesaje
HttpTransportUrlstring“127.0.0.1”Url-ul transportului https
CLIENT_ACCESS_TOKENstring“DEFAULT_CLIENT-ACCESS-TOKEN”Token-ul de acces pentru transportul https
UDPSyslogPortstring“5140”Portul serverului UDP syslog cu procesarea datelor
UnprocessedUDPSyslogPortstring“5141”Portul serverului UDP syslog fără procesarea datelor
TCPSyslogPortEnbooleantrueIndicatorul de activare a serverului TCP syslog
TCPSyslogPortstring“32004”Portul serverului TCP syslog cu procesarea datelor
UDPNetflowPortstring“2055”Portul serverului de captură UDP netflow
UDPCEFPortstring“5142”Portul serverului pentru formatul UDP CEF
UDPIntrustPortstring“5143”Portul serverului pentru formatul UDP intrust
UDPListenIPstring“0.0.0.0”Adresa IPv4 pe care ascultă serverele UDP
CacheMinimumFreeSpacestring“2048”Spațiul minim disponibil pe disc pentru a scrie date, în caz de throttling
MaximumContainerValuestring“500000”Datele maxime stocate în container; dacă portul udp este inundat, datele vor fi eliminate și se va emite o alertă
debugLevelstring“0”Nivelul de debug astfel
0-mesaje FATAL ERROR, ERROR
1-mesaje WARNING
2-mesaje INFO
3-mesaje DEBUG
UDPSyslogPortEnbooleanfalseActivarea portului serverului UDP syslog cu procesarea datelor
UnprocessedUDPSyslogPortEnbooleanfalse
UDPNetflowPortEnbooleanfalseActivarea serverului de captură UDP netflow
UDPCEFPortEnbooleanfalseActivarea serverului pentru formatul UDP CEF
UDPIntrustPortEnbooleanfalseActivarea serverului pentru formatul UDP intrust

Data Acquisition

Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:

config.ini file
parametertypedefault valuedescriere
Alternate_DB_HOSTstringtcp://127.0.0.1:3306Aceasta este adresa serverului alternativ de bază de date mysql
Config_DB_HOSTstringtcp://127.0.0.1:3306Aceasta este adresa serverului de bază de date mysql
Config_DB_DBstringconfigAcesta este numele bazei de date al serverului de bază de date mysql
Config_DB_USERstringrootAcesta este numele de utilizator al serverului de bază de date mysql
Config_DB_PASSWORDstring****Aceasta este parola serverului de bază de date mysql

Următorii sunt parametrii setați în setările aplicației:

parametertypedefault valuedescriere
EL_Urlstring127.0.0.1Adresa stocării pe termen scurt (Online DataStorage)
EL_Portstring9200Portul stocării pe termen scurt (Online DataStorage)
LIC_PATHstring/var/opt/cyberquest/
dataacquisition/conf/lic
Calea fișierului de licență
CLEANUP_CRONstring* * * * *deprecated
bulk_sizestring2000Dimensiunea lotului trimis către stocarea pe termen scurt (Online DataStorage)
no_of_threadsstring3deprecated
ServiceDebugLevelstring2Nivelul de debug astfel
0-mesaje FATAL ERROR, ERROR
1-mesaje WARNING
2-mesaje INFO
3-mesaje DEBUG
RMQ_hoststring127.0.0.1Adresa serviciilor de cozi
RMQ_usernamestringcqNumele de utilizator al serviciilor de cozi
RMQ_passwordstring********Parola criptată a serviciilor de cozi
RMQ_queuestringeventsNumele cozii de evenimente de intrare a serviciilor de cozi
maxmindb_pathstring/var/opt/cyberquest/
dataacquisition/bin/GeoIP.mmdb
Locația fișierului bazei de date maxmindb
run_collection_serversbooleanfalsedeprecated
throttle_queuestring100000Numărul de evenimente stocate în coada de mesaje la care va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate local în cache.
cache_pathstring/data/dataacquisition/cache/Locația fișierelor de cache
collection_unique_keysstringComputer,EventLog,agent_guidIdentificator unic de eveniment bazat pe câmpurile enumerate, pentru a identifica un asset
el_shardsstring2Numărul de shard-uri din șablon pentru stocarea pe termen scurt
use_http_ES_DA_clientstring1Dacă se utilizează transport http pentru stocarea pe termen scurt (Online DataStorage); dacă este false, transportul va fi efectuat prin alte mijloace prin serviciul de cozi (fanout)
sendRawDatastring0Dacă se trimit date brute către stocarea pe termen scurt (Online DataStorage)
writeEventPathstring0Dacă se trimite calea evenimentului din sistemul CQ către stocarea pe termen scurt (Online DataStorage)
validateDataForELstring1deprecated
GetterThreadNostring3Numărul de thread-uri pentru citirea din coada de evenimente de intrare
ParserThreadNostring3Numărul de thread-uri pentru parsarea datelor
RMQPusherThreadNostring2Numărul de thread-uri pentru trimiterea datelor către serviciul de cozi
ELPusherThreadNostring2Numărul de thread-uri pentru trimiterea datelor către stocarea pe termen scurt (Online DataStorage)
supressRawDatastring1Dacă se șterg datele brute trimise către stocarea pe termen lung (datastorage)
RedisServerURLstring127.0.0.1Adresa stocării bazate pe memorie
RedisServerPORTstring6379Portul stocării bazate pe memorie
ResyncCachestring0Resincronizează cache-ul dacă este utilizat în parserele implicite; va fi resetat la 0 după setarea la 1
UseDefaultParsersstring1Dacă se utilizează parserele definite intern pentru toate evenimentele
EL_minim_free_spacestring3072Spațiul minim disponibil pe disc utilizat de stocarea pe termen scurt (Online DataStorage), în caz de throttling
Cache_minim_free_spacestring3072Spațiul minim disponibil pe disc pentru a scrie date, în caz de throttling
LoadDatabasestringfalseDacă se încarcă baza de date stocată în folderul sql
debug_levelstring1Nivelul de debug astfel
0-mesaje FATAL ERROR, ERROR
1-mesaje WARNING
2-mesaje INFO
3-mesaje DEBUG

Data Correlation

Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:

config.ini file
parametertypedefault valuedescriere
Alternate_DB_HOSTstringtcp://127.0.0.1:3306Aceasta este adresa serverului alternativ de bază de date mysql
Config_DB_HOSTstringtcp://127.0.0.1:3306Aceasta este adresa serverului de bază de date mysql
Config_DB_DBstringconfigAcesta este numele bazei de date al serverului de bază de date mysql
Config_DB_USERstringrootAcesta este numele de utilizator al serverului de bază de date mysql
Config_DB_PASSWORDstring***Aceasta este parola serverului de bază de date mysql

Următorii sunt parametrii setați în setările aplicației:

parametertypedefault valuedescriere
AplicationGUIDstring334CFC20-F2D3-A7D1-D3B7-DBB79ED69B5CAcesta este ID-ul global unic al serverului, este reprezentat de 32 de cifre hexazecimale minuscule/majuscule,
afișate în cinci grupuri separate prin cratime, sub forma 8-4-4-4-12 pentru un total de 36 de caractere
EL_Urlstring127.0.0.1Adresa stocării pe termen scurt (Online DataStorage)
EL_Portstring9200Portul stocării pe termen scurt (Online DataStorage)
DebugLevelstring2Nivelul de debug astfel
0-mesaje FATAL ERROR, ERROR
1-mesaje WARNING
2-mesaje INFO
3-mesaje DEBUG
RMQueueAddressstring127.0.0.1Adresa serviciilor de cozi
RMQueuePortstring5672Portul serviciilor de cozi
RMQueueUserNamestringcqNumele de utilizator al serviciilor de cozi
RMQueuePasswordstring********Parola criptată a serviciilor de cozi
RMQueueNamestringDataCorrelationNumele cozii de evenimente de intrare a serviciilor de cozi
throttle_queuestring100000Numărul de evenimente stocate în coada de mesaje la care va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate local în cache
cache_pathstring/data/datacorrelation/cache/Locația fișierelor de cache
RedisServerURLstring127.0.0.1Adresa stocării bazate pe memorie
RedisServerPORTstring6379Portul stocării bazate pe memorie
restartbool0Repornește serviciul de corelare a datelor
PercolatorThreadPoolSizestring3Pool-ul de thread-uri pentru percolator
PercolatorNumberOfContainersstring1Numărul de containere utilizate pentru percolare

Data Storage

Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:

conf.xml file
parametertypedefault valuedescriere
dbDriverstringcom.mysql.jdbc.DriverAcesta este driverul serverului de bază de date mysql
dbUserNamestringrootAcesta este numele de utilizator al serverului de bază de date mysql
dbPassstring****Aceasta este parola serverului de bază de date mysql
dbUrlstringjdbc:mysql://127.0.0.1:3306/configAceasta este adresa serverului de bază de date mysql
dbAlternateUrlstringjdbc:mysql://127.0.0.1:3306/configAceasta este adresa serverului alternativ de bază de date mysql
serverGuidstringD39498A9-1C85-0379-1E78-C161E6FFEEEAAcesta este Globally Unique IDentifier (GUID) al serverului

Următorii sunt parametrii setați în setările aplicației:

parametertypedefault valuedescriere
maxEventsPerFilestring20000Specifică numărul maxim de evenimente permise per fișier stocat
fileWriterTimeoutstring60Specifică intervalul de timeout pentru writer-ul de evenimente
mqUserNamestringcqSpecifică numele de utilizator administrativ pentru accesul la serviciul MQ
mqPasswordstring****Specifică parola utilizatorului pentru serviciul MQ
mqHoststring127.0.0.1Specifică serverul serviciului MQ. În arhitecturile distribuite,
poate diferi de serverul CYBERQUEST implicit
mqVhoststring/Specifică serverul virtual al serviciului MQ. În arhitecturile distribuite,
poate diferi de serverul CYBERQUEST implicit
mqPortstring5672Specifică portul de comunicare în rețea utilizat de serviciul MQ
mqExchangeNamestringeventsExchangeSpecifică numele exchange-ului utilizat de serviciul MQ
mqQueueNamestringjobCommandsSpecifică numele cozii MQ
mqReceiveQueueTypestringfanoutSpecifică tipul cozii MQ Receive
mqRoutingstringagentsSpecifică calea de rutare pentru cozile de mesaje
mqReceiveCommandExchangeNamestringeventsExchangeSpecifică numele exchange-ului de comenzi MQ Receive
mqReceiveCommandQueueNamestringjobCommandsSpecifică numele cozii de comenzi MQ Receive
mqReceiveCommandQueueTypestringdirectSpecifică tipul cozii de comenzi MQ Receive
mqReceiveCommandRoutingstringserversSpecifică calea de rutare a comenzilor MQ Receive
mqSendExchangeNamestringSpecifică numele exchange-ului MQ Send
mqSendQueueNamestringarchiveSpecifică numele cozii MQ Send
mqSendRoutingstringagentsSpecifică calea de rutare MQ Send
mqSendQueueTypestringdirectSpecifică tipul cozii MQ Send
encryptionPublicKeyFilePathstring/var/opt/cyberquest/
encryption/datastorage/
public_key.txt
Specifică calea fișierului pentru cheia publică definită
encryptionPrivateKeyFilePathstring/var/opt/cyberquest/
encryption/datastorage/
private_key.txt
Specifică calea fișierului pentru cheia privată definită
elasticClusterNamestringES.Specifică numele clusterului Online DataStorage
elasticHostNamestring127.0.0.1Specifică numele gazdei Online DataStorage
encryptionPrivateKeyPasswordstring***Specifică parola pentru cheia privată definită
encryptionPrivateKeyPasswordPathstring/var/opt/cyberquest/
encryption/datastorage/
privateKeyPassword.txt
Specifică calea fișierului pentru parola cheii private definite
fileImportThreadsstring5Specifică câte thread-uri sunt utilizate pentru import
mqQueueTypestringdirectSpecifică tipul cozii
mqReceiveExchangeNamestringDA.publishSpecifică numele exchange-ului MQ Receive
mqReceiveQueueNamestringDataStorageSpecifică numele cozii MQ Receive
mqReceiveRoutingstringagentsSpecifică cheia de rutare MQ Receive
mqAlternateHoststring127.0.0.1Specifică numele gazdei alternative utilizate dacă coada curentă este indisponibilă
mqVHoststring/Specifică gazda virtuală MQ Receive

Windows Agent

Puteți găsi toate variabilele configurabile în tabelul următor:

parametertypedefault valuedescriere
eventSyncQueueSizeinteger10000Numărul de evenimente trimise la fiecare 5 secunde
compressDatabooleantrueDacă se comprimă sau nu datele evenimentelor
encryptDatabooleantrueDacă se criptează sau nu datele evenimentelor
cleanupOlderLogsDaysinteger7Curățarea automată a jurnalelor agentului
throttleCollectioninteger10000Pragul la care va începe treptat să colecteze mai puține evenimente (această valoare este dată de câte mesaje așteaptă în coada serverului de procesare CYBERQUEST)
mqHoststring192.168.200.128Gazda serverului CYBERQUEST
mqUserNamestringcqNumele de utilizator al serverului CYBERQUEST
mqPasswordstring****Hash-ul parolei serverului CYBERQUEST
HttpTransportUrlstringfalseUtilizat pentru implementări în cloud și url-ul pentru trimiterea datelor către cloud-ul serverului CYBERQUEST
CLIENT_ACCESS_TOKENstringfalseToken-ul de autentificare pentru cloud-ul serverului CYBERQUEST
mqUseSSLbooleanfalseDacă se utilizează sau nu criptarea întregii conexiuni către serverul CYBERQUEST