Перейти к содержанию

Включение режима распределенной корреляции

Для включения режима распределенной корреляции необходимо добавить узел в кластер Платформы Радар и назначить этому узлу роль Correlator. После этого выполнить настройку всех экземпляров коррелятора.

Настройка экземпляров коррелятора

Включение функции распределенной корреляции осуществляется на всех экземплярах коррелятора в конфигурационном файле /opt/pangeoradar/configs/pangeoradar-logmule2.yaml.

  1. Зайдите в раздел Администрирование - Кластер - Узлы, найдите узлы с ролями Correlator и узнайте их IP-адреса.

  2. Подключитесь к узлу по SSH и добавьте параметр shared_instance в конфигурационный файл узла /opt/pangeoradar/configs/pangeoradar-logmule2.yaml.

  3. Для включения в конфигурационный файл нужно добавить следующую строку: shared_instance: true. Сохраните изменения.

  4. Если необходимо, подключитесь ко следующему узлу аналогично пункту 2.

  5. Тогда для первого узла коррелятора выставите значение shared_instance: false. Для второго узла — shared_instance: true.

  6. Сохраните конфигурационные файлы и перезапустите службу с помощью команды:

    service pangeoradar-logmule2 restart

Настройка правила для работы с несколькими корреляторами

Для переключения правила в режим распределенной корреляции нужно сделать следующее:

  1. В веб-интерфейсе перейдите в раздел Коррелятор - Правила.

  2. Нажмите на пиктограмму карандаша у правила, которое необходимо переключить в режим распределенной корреляции.

  3. В режиме редактирования правила создайте новое хранилище значений с названием shared_memory (переменные можно оставить пустыми).

  4. Добавьте хранилище shared_memory к правилу, как изображено на рисунке 1.

  5. Сохраните изменения.

Добавление хранилища shared_memory
Рисунок 1 -- Добавление хранилища shared_memory

Для проверки работы режима распределенной корреляции необходимо перейти в раздел Коррелятор - Правила.

При переключении между экземплярами коррелятора правило, в которое было добавлено хранилище shared_memory, будет помечено как активное.

Для переключения между экземплярами коррелятора необходимо нажать на выпадающее меню с названием экземпляра, как изображено на рисунке 2.

Добавление хранилища shared_memory
Рисунок 2 -- Переключение между экземплярами коррелятора

Проверка работы правила

Для проверки работы правила при распределенной коммутации необходимо сгенерировать ситуацию, для которой выбранное для проверки правило будет срабатывать. Например, для выбранного для проверки правила "Account_added_and_removed_from_a_group_in_short_period_of_time" необходимо выполнить следующие действия (на примере Windows лог-коллектора):

  1. Подключиться по RDP к лог-коллектору.

  2. Запустить командную строку от имени Администратора.

  3. Выполнить попытку добавление нового пользователя в Платформу Радар, выполнив команду:

    C:\Log-collector\user_add_to_group.cmd

После завершения выполнения команды перейти в веб-интерфейс Платформы Радар в раздел Инциденты - Инциденты. При правильной отработке правила в данном разделе в списке инцидентов отобразится инцидент с названием "MS-WIN – Пользователь добавлен в локальную группу или удален из нее" и IP-адресом лог-коллектора.