- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 4.2 Заполнение файла конфигурации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 4.2 Заполнение файла конфигурации
4.2 Заполнение файла конфигурации
Для корректной работы необходимо заполнить файл конфигурации. Файл конфигурации должен быть в формате .toml.
Шаблон файла:
Block of code
# # Service is enabled, can be started manually (Required).
# service_start_type = "OnDemand"
# # Disabled service (Required).
# service_start_type = "Disabled"
# # Autostart on system startup (Required).
service_start_type = "AutoStart"
# # Start delay in secs (Required).
start_delay = 10
[nec_config]
# Log level. One of ["info", "debug","error", "warn", "trace"].
# Default = "info"
log_level = "info"
# Win Event Wmi section.
# Can connect to local machines.
# Describes by set (must be uniq) of [[nec_config.win_event_wmi]] sections.
# Local 1
[[nec_config.win_event_wmi]]
[nec_config.win_event_wmi.local]
# Namespace path (Optional, default = "ROOT\\\\CIMV2").
# namespace_path = "local1"
[nec_config.win_event_wmi.local.poll_config]
# Polling interval in secs (Required).
interval = 5
# List of log files (Required).
log_files = ["Application"]
# # Local 2
# [[nec_config.win_event_wmi]]
# [nec_config.win_event_wmi.local]
# # Namespace path (Optional, default = "ROOT\\\\CIMV2").
# namespace_path = "local2"
# [nec_config.win_event_wmi.local.poll_config]
# # Polling interval in secs (Required). # interval = 5
# # List of log files (Required).
# log_files = ["Application", "Windows Powershell"]
# # Win Event Subscriber section (enable only for Windows.Client >= Vista & Windows.Server >= 2008).
# [nec_config.win_event_subscriber]
# # A query that specifies the types of events that you want the subscription service to return.
# x_query = '''
# <QueryList>
# <Query Id="0">
# <Select Path="Windows PowerShell">*</Select>
# <Select Path="Application">*</Select>
# </Query>
# </QueryList>
# '''
# File Watcher section. [nec_config.file_watcher]
# Paths for watch (Required).
paths = ['D:\path.txt']
# # Retrys to send event to inner channel (Optional, default = 3).
# send_to_channel_retrys = 3
# Poll watcher kind.
[nec_config.file_watcher.watcher_kind.poll]
# Polling interval in secs (Required).
interval = 5
# # Recommended watcher (get notification from system, maybe not work in some cases).
# [nec_config.file_watcher.watcher_kind.recommended]
# Event Sender section.
# Udp section.
[nec_config.event_sender_config.udp]
local_addr = "0.0.0.0"
local_port = 8081
remote_addr = "127.0.0.1"
remote_port = 514
# # Bound of inner channel for events (Optional, default = 10000).
# channel_bound = 10000
# # Tcp section.
# [nec_config.event_sender_config.tcp]
# remote_addr = "127.0.0.1"
# remote_port = 8888
Описание файла конфигурации и его составляющих представлена в таблице ниже.
Таблица с параметрами файла конфигурации
| Параметр | Описание |
|---|---|
Конфигурация сервиса | |
service_start_type | Допустимые значения: OnDemand – сервис включен, но необходим ручной запуск; Disabled – сервис выключен; AutoStart – сервис включен и запускается автоматически. |
start_delay | Время ожидания запуска после поднятия системы в секундах, используется при service_start_type = "AutoStart". |
Конфигурация коллектора [nec_config] | |
log_level | По умолчанию, log_level = "info" . Допустимые значения: info – минимально необходимая информация; debug – подробная информация необходимая для отладки приложения; error – ситуация которая не должна была случиться в приложении (ошибка); warn – предупреждение; trace – полное логирование всех входящих и исходящих сообщений. |
Блок [nec_config.win_event_wmi] | |
namespace_path | Путь до возможного пространства имен. По умолчанию, default = "ROOT\\\\CIMV2" |
Блок [nec_config.win_event_wmi.local.poll_config] | |
log_files | Массив названий каналов, откуда будут собираться события. |
interval | Частота сбора событий, в секундах. |
Блок [nec_config.win_event_subscriber] | |
x_query | Обязательно поле для указания каналов сбора событий. |
<Select Path="Windows PowerShell">*</Select> | * – используется для задания фильтра поиска событий. |
Блок [nec_config.file_watcher] | |
paths | Массив путей до файлов, с которых необходимо совершать сбор событий. |
send_to_channel_retrys | Количество попыток для отправки данных по каналу channel_bound. |
Блок [nec_config.file_watcher.watcher_kind.poll] | |
interval | Частота сбора событий, в секундах. |
Блок [nec_config.event_sender_config.udp] | |
local_addr | По умолчанию, local_addr = "0.0.0.0" IP-адрес, откуда будет совершаться сбор данных. |
local_port | Порт, откуда будет совершаться сбор данных. |
remote_addr | IP-адрес, где стоит SIEM-система для передачи собранных событий. |
remote_port | Порт, где стоит SIEM-система для передачи собранных событий. |
channel_bound | По умолчанию, channel_bound = 10000. Размер очереди событий. |
Блок [nec_config.event_sender_config.tcp] | |
remote_addr | IP-адрес, где стоит SIEM-система для передачи собранных событий. |
remote_port | Порт, где стоит SIEM-система для передачи собранных событий. |
Блоки Win Event Wmi и Win Event Subscriber собирают события из Windows Event Log.
Блок Win Event Subscriber рекомендуется для использования, так как данные Windows машина передает сама, и нет необходимости в постоянном опросе. Однако есть ограничения. Блок Win Event Subscriber доступен для Windows.Client >= Vista & Windows.Server >= 2008.
Блок File Watcher используется для подключения к файлам с целью мониторинга и сбора событий.
Блок Poll watcher kind используется для указания интервала опроса.
Блок Event Sender используется для указания параметров, определяющих, куда направлять собранные данные.
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 4.2 Заполнение файла конфигурации
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 4.2 Заполнение файла конфигурации
4.2 Заполнение файла конфигурации
Для корректной работы необходимо заполнить файл конфигурации. Файл конфигурации должен быть в формате .toml.
Шаблон файла:
Block of code
# # Service is enabled, can be started manually (Required).
# service_start_type = "OnDemand"
# # Disabled service (Required).
# service_start_type = "Disabled"
# # Autostart on system startup (Required).
service_start_type = "AutoStart"
# # Start delay in secs (Required).
start_delay = 10
[nec_config]
# Log level. One of ["info", "debug","error", "warn", "trace"].
# Default = "info"
log_level = "info"
# Win Event Wmi section.
# Can connect to local machines.
# Describes by set (must be uniq) of [[nec_config.win_event_wmi]] sections.
# Local 1
[[nec_config.win_event_wmi]]
[nec_config.win_event_wmi.local]
# Namespace path (Optional, default = "ROOT\\\\CIMV2").
# namespace_path = "local1"
[nec_config.win_event_wmi.local.poll_config]
# Polling interval in secs (Required).
interval = 5
# List of log files (Required).
log_files = ["Application"]
# # Local 2
# [[nec_config.win_event_wmi]]
# [nec_config.win_event_wmi.local]
# # Namespace path (Optional, default = "ROOT\\\\CIMV2").
# namespace_path = "local2"
# [nec_config.win_event_wmi.local.poll_config]
# # Polling interval in secs (Required). # interval = 5
# # List of log files (Required).
# log_files = ["Application", "Windows Powershell"]
# # Win Event Subscriber section (enable only for Windows.Client >= Vista & Windows.Server >= 2008).
# [nec_config.win_event_subscriber]
# # A query that specifies the types of events that you want the subscription service to return.
# x_query = '''
# <QueryList>
# <Query Id="0">
# <Select Path="Windows PowerShell">*</Select>
# <Select Path="Application">*</Select>
# </Query>
# </QueryList>
# '''
# File Watcher section. [nec_config.file_watcher]
# Paths for watch (Required).
paths = ['D:\path.txt']
# # Retrys to send event to inner channel (Optional, default = 3).
# send_to_channel_retrys = 3
# Poll watcher kind.
[nec_config.file_watcher.watcher_kind.poll]
# Polling interval in secs (Required).
interval = 5
# # Recommended watcher (get notification from system, maybe not work in some cases).
# [nec_config.file_watcher.watcher_kind.recommended]
# Event Sender section.
# Udp section.
[nec_config.event_sender_config.udp]
local_addr = "0.0.0.0"
local_port = 8081
remote_addr = "127.0.0.1"
remote_port = 514
# # Bound of inner channel for events (Optional, default = 10000).
# channel_bound = 10000
# # Tcp section.
# [nec_config.event_sender_config.tcp]
# remote_addr = "127.0.0.1"
# remote_port = 8888
Описание файла конфигурации и его составляющих представлена в таблице ниже.
Таблица с параметрами файла конфигурации
| Параметр | Описание |
|---|---|
Конфигурация сервиса | |
service_start_type | Допустимые значения: OnDemand – сервис включен, но необходим ручной запуск; Disabled – сервис выключен; AutoStart – сервис включен и запускается автоматически. |
start_delay | Время ожидания запуска после поднятия системы в секундах, используется при service_start_type = "AutoStart". |
Конфигурация коллектора [nec_config] | |
log_level | По умолчанию, log_level = "info" . Допустимые значения: info – минимально необходимая информация; debug – подробная информация необходимая для отладки приложения; error – ситуация которая не должна была случиться в приложении (ошибка); warn – предупреждение; trace – полное логирование всех входящих и исходящих сообщений. |
Блок [nec_config.win_event_wmi] | |
namespace_path | Путь до возможного пространства имен. По умолчанию, default = "ROOT\\\\CIMV2" |
Блок [nec_config.win_event_wmi.local.poll_config] | |
log_files | Массив названий каналов, откуда будут собираться события. |
interval | Частота сбора событий, в секундах. |
Блок [nec_config.win_event_subscriber] | |
x_query | Обязательно поле для указания каналов сбора событий. |
<Select Path="Windows PowerShell">*</Select> | * – используется для задания фильтра поиска событий. |
Блок [nec_config.file_watcher] | |
paths | Массив путей до файлов, с которых необходимо совершать сбор событий. |
send_to_channel_retrys | Количество попыток для отправки данных по каналу channel_bound. |
Блок [nec_config.file_watcher.watcher_kind.poll] | |
interval | Частота сбора событий, в секундах. |
Блок [nec_config.event_sender_config.udp] | |
local_addr | По умолчанию, local_addr = "0.0.0.0" IP-адрес, откуда будет совершаться сбор данных. |
local_port | Порт, откуда будет совершаться сбор данных. |
remote_addr | IP-адрес, где стоит SIEM-система для передачи собранных событий. |
remote_port | Порт, где стоит SIEM-система для передачи собранных событий. |
channel_bound | По умолчанию, channel_bound = 10000. Размер очереди событий. |
Блок [nec_config.event_sender_config.tcp] | |
remote_addr | IP-адрес, где стоит SIEM-система для передачи собранных событий. |
remote_port | Порт, где стоит SIEM-система для передачи собранных событий. |
Блоки Win Event Wmi и Win Event Subscriber собирают события из Windows Event Log.
Блок Win Event Subscriber рекомендуется для использования, так как данные Windows машина передает сама, и нет необходимости в постоянном опросе. Однако есть ограничения. Блок Win Event Subscriber доступен для Windows.Client >= Vista & Windows.Server >= 2008.
Блок File Watcher используется для подключения к файлам с целью мониторинга и сбора событий.
Блок Poll watcher kind используется для указания интервала опроса.
Блок Event Sender используется для указания параметров, определяющих, куда направлять собранные данные.