Kraken Документация

Оглавление

Интерфейс

Thread Settings

EPS - количество событий в секунду отправляемых на коллектор. Максимальное значение 90000 событий в секунду. При установки значения 0, устанавливается максимальное значение 90000 EPS.

Timeout - Время в миллисекундах между отправками.

Fuzzing - заполнение значений мусорными данными, не затрагивает метки времени.

Flow (Функции отправки):

Normal Отправка количества событий указанных в параметре EPS
Raising Опция плавное повышение EPS . При достижения EPS, цикл начнется повторно.
Downgrade Опция плавного понижения EPS. При достижения 0, цикл начнется повторно.
Random Опция отправки случайного количества событий в пределах значения указанного в EPS

Flow distribution (Функции отправки):

Normal Равномерное (последовательное) распределение событий между получателями
Random Случайное распределение событий между получателями

 

Stop time (sec) - время в секундах, после которого должна прекратится отправки событий.

Templait

Templait - выбор формата (шаблона) отправки данных.

Proto

UDP Отправка событий по протоколу UDP
TCP Отправка событий по протоколу TCP
TCP(TLS) Отправка событий по TCP TLS (TLS 1.0, TLS 1.1, TLS 1.2)
ElasticSeach Пакетная отправка событий в Elasticseach
ElasticSeach (doc) Отправка событий Elasticseach по одному
Kafka Отправка событий в Kafka
Redis(RPUSH) Отправка событий в список в начало списка Redis
Redis(LPUSH) Отправка событий в список в конец списка Redis

Мониторинг

При включении мониторинга, kraken подключается к SSH серверу и последовательно выполняет команды из файла comad.txt, расположенного рядом с программой. Таймаут между обходами 10 секунд

Формат команд "метка = команда"

Пример:

loadavg=cat /proc/loadavg

Шаблоны

Apache Стандартный лог веб-сервера Apache
Fortinet Стандартный лог Fortinet Fortigate, в формате CEF
Fortinet Lite Стандартный лог Fortinet Fortigate, в формате CEF, с уменьшенными диапазонами IP адресов и портов
Infotecs-ids Стандартный лог Infotecs IDS в формате CEF
Kaspersky Anti Targeted Attack Platform Стандартный лог одного из модулей Kaspersky Anti Targeted Attack Platform в формате CEF
Nginx Стандартный лог веб-сервера Nginx
Nginx (proxy) Стандартный лог веб-сервера Nginx в режиме реверс прокси
Nginx (OpenVas) Стандартный лог веб-сервера Nginx, в качестве User-Agent всегда используется OpenVAS
Squid Стандартный лог прокси сервера Squid
Squid (IP List) Стандартный лог прокси сервера Squid, с использованием списка IP адресов из файла
Synology Стандартный лог файлового хранилища Synology, со случайным набором чтения файлов и пользователей
Suricata Стандартный лог Suricata IDS в формате eve.json syslog
ElasticSearch Пример шаблона событий в ElasticSearch
Kafka Пример шаблона событий в Kafka
Redis Пример шаблона событий в Redis
Suricata Шаблон Suritata IDS Eve формат пересылки через Syslog
Suricata (json) Шаблон Suritata IDS Eve

Параметры:

template - шаблон оного события события.

index - Имя для отправки событий:

  • Имя индекса ElasticSearch
  • Имя топика Kafka
  • Имя списка Redis

name - имя шаблона для отображения в интерфейсе (должен быть уникальным).

 

Шаблон может быть получен из двух параметров в файлах конфигурации

Для одной строки в шаблоне
[main]
template=

Для нескольких шаблонов в рамках одного файла конфигурации секция. В случае наличия секции [template], параметр template- игнорируется.

[template]

(Visited 75 times, 1 visits today)