Создание уведомлений о входящих сервисных событиях

Для создания уведомлений о входящих сервисных событиях Kaspersky CyberTrace можно настроить правила информационных сообщений.

Чтобы создать уведомления о сервисных событиях из Kaspersky CyberTrace в Splunk, выполните следующие действия:

1. В меню Search and Reporting app for Splunk выберите вкладку Search.
2. В поле поиска укажите условие для создания информационных сообщений. Например:

   sourcetype="kl_cybertrace_events" alert="KL_ALERT_ServiceStopped"

   Это условие определяет запрос на поиск оповещений о событиях, которые генерируются при остановке Kaspersky CyberTrace Service.

3. Нажмите на кнопку «Search» (), чтобы проверить, правильно ли выполняется сформулированный запрос.

   

   KL_ALERT_ServiceStopped events

4. Нажмите Save as и выберите Alert.

   

   Сохранение информационного сообщения

   Откроется окно Save As Alert.

5. В окне Save As Alert задайте следующие настройки:
   • В поле Title укажите имя информационного сообщения.

     Указываемое название может быть любым.

   • В поле Description укажите описание информационного сообщения.

     Указываемое описание может быть любым.

   • В поле Alert type выберите один из следующих вариантов:
     • Scheduled, если требуется регулярно проверять события на соответствие указанным условиям.
     • Real-time, если требуется проверять события на соответствие указанным условиям в режиме реального времени.
   • В поле Trigger укажите For each results.
   • Установите флажок Throttle, а затем, если необходимо, укажите продолжительность интервала времени, в течение которого Splunk не будет отправлять новые информационные сообщения в случае срабатывания правила.
   • В поле Trigger Actions укажите способ, которым Splunk будет уведомлять о срабатывании информационного сообщения.

   

   Окно Save As Alert

6. Нажмите на кнопку Save.

   Правило появится в Splunk.