Documentație
Parametrii serviciilor
Data Server
Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:
| parameter | type | default value | descriere |
|---|---|---|---|
| compressData | boolean | true | Indicatorul de compresie a mesajelor |
| encryptData | boolean | true | Indicatorul de criptare a mesajelor |
| throttleCollection | string | “100000” | Numărul de evenimente stocate în coada de mesaje la care va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate local în cache |
| mqHost | string | “127.0.0.1” | Adresa serviciilor de cozi |
| mqPort | string | “5672” | Portul serviciilor de cozi |
| mqUserName | string | “cq” | Numele de utilizator al serviciilor de cozi |
| mqPassword | string | “*******” | Parola criptată a serviciilor de cozi |
| mqUseSSL | boolean | false | Dacă se utilizează servicii de cozi tls |
| tenant | string | "" | Numele tenantului |
| useHTTPSTransport | boolean | false | Dacă se utilizează transport https în locul serviciului de cozi de mesaje |
| HttpTransportUrl | string | “127.0.0.1” | Url-ul transportului https |
| CLIENT_ACCESS_TOKEN | string | “DEFAULT_CLIENT-ACCESS-TOKEN” | Token-ul de acces pentru transportul https |
| UDPSyslogPort | string | “5140” | Portul serverului UDP syslog cu procesarea datelor |
| UnprocessedUDPSyslogPort | string | “5141” | Portul serverului UDP syslog fără procesarea datelor |
| TCPSyslogPortEn | boolean | true | Indicatorul de activare a serverului TCP syslog |
| TCPSyslogPort | string | “32004” | Portul serverului TCP syslog cu procesarea datelor |
| UDPNetflowPort | string | “2055” | Portul serverului de captură UDP netflow |
| UDPCEFPort | string | “5142” | Portul serverului pentru formatul UDP CEF |
| UDPIntrustPort | string | “5143” | Portul serverului pentru formatul UDP intrust |
| UDPListenIP | string | “0.0.0.0” | Adresa IPv4 pe care ascultă serverele UDP |
| CacheMinimumFreeSpace | string | “2048” | Spațiul minim disponibil pe disc pentru a scrie date, în caz de throttling |
| MaximumContainerValue | string | “500000” | Datele maxime stocate în container; dacă portul udp este inundat, datele vor fi eliminate și se va emite o alertă |
| debugLevel | string | “0” | Nivelul de debug astfel 0-mesaje FATAL ERROR, ERROR 1-mesaje WARNING 2-mesaje INFO 3-mesaje DEBUG |
| UDPSyslogPortEn | boolean | false | Activarea portului serverului UDP syslog cu procesarea datelor |
| UnprocessedUDPSyslogPortEn | boolean | false | |
| UDPNetflowPortEn | boolean | false | Activarea serverului de captură UDP netflow |
| UDPCEFPortEn | boolean | false | Activarea serverului pentru formatul UDP CEF |
| UDPIntrustPortEn | boolean | false | Activarea serverului pentru formatul UDP intrust |
Data Acquisition
Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:
config.ini file
| parameter | type | default value | descriere |
|---|---|---|---|
| Alternate_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului alternativ de bază de date mysql |
| Config_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului de bază de date mysql |
| Config_DB_DB | string | config | Acesta este numele bazei de date al serverului de bază de date mysql |
| Config_DB_USER | string | root | Acesta este numele de utilizator al serverului de bază de date mysql |
| Config_DB_PASSWORD | string | **** | Aceasta este parola serverului de bază de date mysql |
Următorii sunt parametrii setați în setările aplicației:
| parameter | type | default value | descriere |
|---|---|---|---|
| EL_Url | string | 127.0.0.1 | Adresa stocării pe termen scurt (Online DataStorage) |
| EL_Port | string | 9200 | Portul stocării pe termen scurt (Online DataStorage) |
| LIC_PATH | string | /var/opt/cyberquest/ dataacquisition/conf/lic | Calea fișierului de licență |
| CLEANUP_CRON | string | * * * * * | deprecated |
| bulk_size | string | 2000 | Dimensiunea lotului trimis către stocarea pe termen scurt (Online DataStorage) |
| no_of_threads | string | 3 | deprecated |
| ServiceDebugLevel | string | 2 | Nivelul de debug astfel 0-mesaje FATAL ERROR, ERROR 1-mesaje WARNING 2-mesaje INFO 3-mesaje DEBUG |
| RMQ_host | string | 127.0.0.1 | Adresa serviciilor de cozi |
| RMQ_username | string | cq | Numele de utilizator al serviciilor de cozi |
| RMQ_password | string | ******** | Parola criptată a serviciilor de cozi |
| RMQ_queue | string | events | Numele cozii de evenimente de intrare a serviciilor de cozi |
| maxmindb_path | string | /var/opt/cyberquest/ dataacquisition/bin/GeoIP.mmdb | Locația fișierului bazei de date maxmindb |
| run_collection_servers | boolean | false | deprecated |
| throttle_queue | string | 100000 | Numărul de evenimente stocate în coada de mesaje la care va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate local în cache. |
| cache_path | string | /data/dataacquisition/cache/ | Locația fișierelor de cache |
| collection_unique_keys | string | Computer,EventLog,agent_guid | Identificator unic de eveniment bazat pe câmpurile enumerate, pentru a identifica un asset |
| el_shards | string | 2 | Numărul de shard-uri din șablon pentru stocarea pe termen scurt |
| use_http_ES_DA_client | string | 1 | Dacă se utilizează transport http pentru stocarea pe termen scurt (Online DataStorage); dacă este false, transportul va fi efectuat prin alte mijloace prin serviciul de cozi (fanout) |
| sendRawData | string | 0 | Dacă se trimit date brute către stocarea pe termen scurt (Online DataStorage) |
| writeEventPath | string | 0 | Dacă se trimite calea evenimentului din sistemul CQ către stocarea pe termen scurt (Online DataStorage) |
| validateDataForEL | string | 1 | deprecated |
| GetterThreadNo | string | 3 | Numărul de thread-uri pentru citirea din coada de evenimente de intrare |
| ParserThreadNo | string | 3 | Numărul de thread-uri pentru parsarea datelor |
| RMQPusherThreadNo | string | 2 | Numărul de thread-uri pentru trimiterea datelor către serviciul de cozi |
| ELPusherThreadNo | string | 2 | Numărul de thread-uri pentru trimiterea datelor către stocarea pe termen scurt (Online DataStorage) |
| supressRawData | string | 1 | Dacă se șterg datele brute trimise către stocarea pe termen lung (datastorage) |
| RedisServerURL | string | 127.0.0.1 | Adresa stocării bazate pe memorie |
| RedisServerPORT | string | 6379 | Portul stocării bazate pe memorie |
| ResyncCache | string | 0 | Resincronizează cache-ul dacă este utilizat în parserele implicite; va fi resetat la 0 după setarea la 1 |
| UseDefaultParsers | string | 1 | Dacă se utilizează parserele definite intern pentru toate evenimentele |
| EL_minim_free_space | string | 3072 | Spațiul minim disponibil pe disc utilizat de stocarea pe termen scurt (Online DataStorage), în caz de throttling |
| Cache_minim_free_space | string | 3072 | Spațiul minim disponibil pe disc pentru a scrie date, în caz de throttling |
| LoadDatabase | string | false | Dacă se încarcă baza de date stocată în folderul sql |
| debug_level | string | 1 | Nivelul de debug astfel 0-mesaje FATAL ERROR, ERROR 1-mesaje WARNING 2-mesaje INFO 3-mesaje DEBUG |
Data Correlation
Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:
config.ini file
| parameter | type | default value | descriere |
|---|---|---|---|
| Alternate_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului alternativ de bază de date mysql |
| Config_DB_HOST | string | tcp://127.0.0.1:3306 | Aceasta este adresa serverului de bază de date mysql |
| Config_DB_DB | string | config | Acesta este numele bazei de date al serverului de bază de date mysql |
| Config_DB_USER | string | root | Acesta este numele de utilizator al serverului de bază de date mysql |
| Config_DB_PASSWORD | string | *** | Aceasta este parola serverului de bază de date mysql |
Următorii sunt parametrii setați în setările aplicației:
| parameter | type | default value | descriere |
|---|---|---|---|
| AplicationGUID | string | 334CFC20-F2D3-A7D1-D3B7-DBB79ED69B5C | Acesta este ID-ul global unic al serverului, este reprezentat de 32 de cifre hexazecimale minuscule/majuscule, afișate în cinci grupuri separate prin cratime, sub forma 8-4-4-4-12 pentru un total de 36 de caractere |
| EL_Url | string | 127.0.0.1 | Adresa stocării pe termen scurt (Online DataStorage) |
| EL_Port | string | 9200 | Portul stocării pe termen scurt (Online DataStorage) |
| DebugLevel | string | 2 | Nivelul de debug astfel 0-mesaje FATAL ERROR, ERROR 1-mesaje WARNING 2-mesaje INFO 3-mesaje DEBUG |
| RMQueueAddress | string | 127.0.0.1 | Adresa serviciilor de cozi |
| RMQueuePort | string | 5672 | Portul serviciilor de cozi |
| RMQueueUserName | string | cq | Numele de utilizator al serviciilor de cozi |
| RMQueuePassword | string | ******** | Parola criptată a serviciilor de cozi |
| RMQueueName | string | DataCorrelation | Numele cozii de evenimente de intrare a serviciilor de cozi |
| throttle_queue | string | 100000 | Numărul de evenimente stocate în coada de mesaje la care va opri trimiterea evenimentelor. Toate evenimentele vor fi stocate local în cache |
| cache_path | string | /data/datacorrelation/cache/ | Locația fișierelor de cache |
| RedisServerURL | string | 127.0.0.1 | Adresa stocării bazate pe memorie |
| RedisServerPORT | string | 6379 | Portul stocării bazate pe memorie |
| restart | bool | 0 | Repornește serviciul de corelare a datelor |
| PercolatorThreadPoolSize | string | 3 | Pool-ul de thread-uri pentru percolator |
| PercolatorNumberOfContainers | string | 1 | Numărul de containere utilizate pentru percolare |
Data Storage
Parametrii de serviciu care se găsesc în fișierele de configurare ale serviciilor:
conf.xml file
| parameter | type | default value | descriere |
|---|---|---|---|
| dbDriver | string | com.mysql.jdbc.Driver | Acesta este driverul serverului de bază de date mysql |
| dbUserName | string | root | Acesta este numele de utilizator al serverului de bază de date mysql |
| dbPass | string | **** | Aceasta este parola serverului de bază de date mysql |
| dbUrl | string | jdbc:mysql://127.0.0.1:3306/config | Aceasta este adresa serverului de bază de date mysql |
| dbAlternateUrl | string | jdbc:mysql://127.0.0.1:3306/config | Aceasta este adresa serverului alternativ de bază de date mysql |
| serverGuid | string | D39498A9-1C85-0379-1E78-C161E6FFEEEA | Acesta este Globally Unique IDentifier (GUID) al serverului |
Următorii sunt parametrii setați în setările aplicației:
| parameter | type | default value | descriere |
|---|---|---|---|
| maxEventsPerFile | string | 20000 | Specifică numărul maxim de evenimente permise per fișier stocat |
| fileWriterTimeout | string | 60 | Specifică intervalul de timeout pentru writer-ul de evenimente |
| mqUserName | string | cq | Specifică numele de utilizator administrativ pentru accesul la serviciul MQ |
| mqPassword | string | **** | Specifică parola utilizatorului pentru serviciul MQ |
| mqHost | string | 127.0.0.1 | Specifică serverul serviciului MQ. În arhitecturile distribuite, poate diferi de serverul CYBERQUEST implicit |
| mqVhost | string | / | Specifică serverul virtual al serviciului MQ. În arhitecturile distribuite, poate diferi de serverul CYBERQUEST implicit |
| mqPort | string | 5672 | Specifică portul de comunicare în rețea utilizat de serviciul MQ |
| mqExchangeName | string | eventsExchange | Specifică numele exchange-ului utilizat de serviciul MQ |
| mqQueueName | string | jobCommands | Specifică numele cozii MQ |
| mqReceiveQueueType | string | fanout | Specifică tipul cozii MQ Receive |
| mqRouting | string | agents | Specifică calea de rutare pentru cozile de mesaje |
| mqReceiveCommandExchangeName | string | eventsExchange | Specifică numele exchange-ului de comenzi MQ Receive |
| mqReceiveCommandQueueName | string | jobCommands | Specifică numele cozii de comenzi MQ Receive |
| mqReceiveCommandQueueType | string | direct | Specifică tipul cozii de comenzi MQ Receive |
| mqReceiveCommandRouting | string | servers | Specifică calea de rutare a comenzilor MQ Receive |
| mqSendExchangeName | string | Specifică numele exchange-ului MQ Send | |
| mqSendQueueName | string | archive | Specifică numele cozii MQ Send |
| mqSendRouting | string | agents | Specifică calea de rutare MQ Send |
| mqSendQueueType | string | direct | Specifică tipul cozii MQ Send |
| encryptionPublicKeyFilePath | string | /var/opt/cyberquest/ encryption/datastorage/ public_key.txt | Specifică calea fișierului pentru cheia publică definită |
| encryptionPrivateKeyFilePath | string | /var/opt/cyberquest/ encryption/datastorage/ private_key.txt | Specifică calea fișierului pentru cheia privată definită |
| elasticClusterName | string | ES. | Specifică numele clusterului Online DataStorage |
| elasticHostName | string | 127.0.0.1 | Specifică numele gazdei Online DataStorage |
| encryptionPrivateKeyPassword | string | *** | Specifică parola pentru cheia privată definită |
| encryptionPrivateKeyPasswordPath | string | /var/opt/cyberquest/ encryption/datastorage/ privateKeyPassword.txt | Specifică calea fișierului pentru parola cheii private definite |
| fileImportThreads | string | 5 | Specifică câte thread-uri sunt utilizate pentru import |
| mqQueueType | string | direct | Specifică tipul cozii |
| mqReceiveExchangeName | string | DA.publish | Specifică numele exchange-ului MQ Receive |
| mqReceiveQueueName | string | DataStorage | Specifică numele cozii MQ Receive |
| mqReceiveRouting | string | agents | Specifică cheia de rutare MQ Receive |
| mqAlternateHost | string | 127.0.0.1 | Specifică numele gazdei alternative utilizate dacă coada curentă este indisponibilă |
| mqVHost | string | / | Specifică gazda virtuală MQ Receive |
Windows Agent
Puteți găsi toate variabilele configurabile în tabelul următor:
| parameter | type | default value | descriere |
|---|---|---|---|
| eventSyncQueueSize | integer | 10000 | Numărul de evenimente trimise la fiecare 5 secunde |
| compressData | boolean | true | Dacă se comprimă sau nu datele evenimentelor |
| encryptData | boolean | true | Dacă se criptează sau nu datele evenimentelor |
| cleanupOlderLogsDays | integer | 7 | Curățarea automată a jurnalelor agentului |
| throttleCollection | integer | 10000 | Pragul la care va începe treptat să colecteze mai puține evenimente (această valoare este dată de câte mesaje așteaptă în coada serverului de procesare CYBERQUEST) |
| mqHost | string | 192.168.200.128 | Gazda serverului CYBERQUEST |
| mqUserName | string | cq | Numele de utilizator al serverului CYBERQUEST |
| mqPassword | string | **** | Hash-ul parolei serverului CYBERQUEST |
| HttpTransportUrl | string | false | Utilizat pentru implementări în cloud și url-ul pentru trimiterea datelor către cloud-ul serverului CYBERQUEST |
| CLIENT_ACCESS_TOKEN | string | false | Token-ul de autentificare pentru cloud-ul serverului CYBERQUEST |
| mqUseSSL | boolean | false | Dacă se utilizează sau nu criptarea întregii conexiuni către serverul CYBERQUEST |