# Configuration de l'agent ja4ebpf
# Copiez ce fichier en config.yml et adaptez les valeurs.

# Interfaces réseau à surveiller (TC ingress).
# "any" = toutes les interfaces UP (sauf loopback).
# Ou liste explicite : ["eth0", "eth1"]
interfaces:
  - any

# Chemin vers libssl pour les uprobes SSL_read/SSL_write/SSL_set_fd
ssl_lib_path: "/usr/lib64/libssl.so.3"

# Ports TCP à surveiller (filtrage BPF côté kernel)
listen_ports:
  - 80
  - 443

# CIDR/IP sources à ignorer (filtrage BPF LPM_TRIE + filtrage userspace SSL)
# Le trafic provenant de ces réseaux est ignoré à toutes les couches.
# ignore_src:
#   - 10.0.0.0/8
#   - 172.16.0.0/12
#   - 192.168.0.0/16
#   - 127.0.0.1

# Mode debug : dump compteurs BPF + événements consommés toutes les 5s
# ClickHouse optionnel en mode debug
debug: false

# Paramètres de connexion ClickHouse
clickhouse:
  dsn: "clickhouse://default:@127.0.0.1:9000/ja4_logs?async_insert=0"
  batch_size: 500
  flush_secs: 1

# Délais de corrélation et de détection
correlation:
  timeout_ms: 500        # expiration session TCP (ms)
  slowloris_ms: 10000    # seuil Slowloris (ms)

# Journalisation
log:
  level: "info"   # debug | info | warn | error
  format: "json"  # json | text