为卡巴斯基容器安全创建数据库

要为卡巴斯基容器安全创建数据库：

在工作站上的 ClickHouse 中，运行以下命令：

CREATE DATABASE IF NOT EXISTS kcs

其中 kcs 是卡巴斯基容器安全数据库的名称。

要配置为卡巴斯基容器安全所创建的数据库的设置：

1. 添加用户并定义他们的授权方法。为此，您必须执行以下操作：
   1. 添加以下用户：
      • 有权读取卡巴斯基容器安全核心所接收数据的用户（读取者）。

        <roles>

        <kcs_reader_role>

        <grants>

        <query>GRANT SELECT ON kcs.*</query>

        </grants>

        </kcs_reader_role>

      • 有权写入来自外部代理请求的数据的用户（写入者）。

        <roles>

        <kcs_writer_role>

        <grants>

        <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

        <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

        </grants>

        </kcs_writer_role>

   2. 指定用户授权方法：使用密码或证书。

      配置密码认证用户的示例

      <clickhouse>

      ...

      <kcsuser-write>

      <password>*********</password>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      <kcsuser-read>

      <password>*********</password>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      <roles>

      <kcs_reader_role>

      <grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      <kcs_writer_role>

      <grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

      配置证书认证用户的示例

      <clickhouse>

      ...

      <kcsuser-write>

      <ssl_certificates>

      <common_name>kcsuser-write</common_name>

      </ssl_certificates>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      <kcsuser-read>

      <ssl_certificates>

      <common_name>kcsuser-read</common_name>

      </ssl_certificates>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      <roles>

      <kcs_reader_role>

      <grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      <kcs_writer_role>

      <grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

2. 指定用于短期和长期数据存储的磁盘。与 ClickHouse 配合使用时，卡巴斯基容器安全可以存储具备不同保留期的大量数据。默认情况下，事件的主要部分最多存储 30 分钟，而事故相关信息最多存储 90 天。由于事件记录需要大量资源来确保较高的记录速度和足够的磁盘空间，因此推荐使用不同的磁盘来分别进行短期和长期数据存储。

   配置数据存储设置的示例

   <clickhouse>

   ...

   <storage_configuration>

   <disks>

   <kcs_disk_hot>

   <path>/etc/clickhouse/hot/</path>

   </kcs_disk_hot>

   <kcs_disk_cold>

   <path>/etc/clickhouse/cold/</path>

   </kcs_disk_cold>

   </disks>

   <policies>

   <kcs_default>

   <volumes>

   <default>

   <disk>kcs_disk_hot</disk>

   </default>

   <cold>

   <disk>kcs_disk_cold</disk>

   </cold>

   </volumes>

   </kcs_default>

   </policies>

   </storage_configuration>

   ...

   </clickhouse>