Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство администратора

Мониторинг источников событий

Состояние источников

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Состояние источников

05 апреля 2024

ID 221645

Скачать PDF

В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор. KUMA создает источники событий по следующим полям событий (данные в этих полях регистрозависимые):

  • DeviceProduct - обязательное поле.
  • DeviceHostname или DeviceAddress - обязательно наличие одного из полей.
  • DeviceProcessName - необязательное поле.
  • Tenant - обязательное поле, определяется автоматически из тенанта события, по которому был идентифицирован источник.

Ограничения

  1. KUMA регистрирует источник событий при условии, что поля DeviceAddress и DeviceProduct содержатся в сыром событии.

    Если сырое событие не содержит поля DeviceAddress и DeviceProduct, вы можете выполнить следующие действия:

    • Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceAddress и DeviceProduct и нажмите ОК.
    • Использовать правило обогащения: выберите тип источника данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceAddress и DeviceProduct и нажмите Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.

    KUMA выполнит обогащение и зарегистрирует источник событий.

  2. Если в KUMA поступают события с одинаковыми значениями обязательных полей DeviceProduct + DeviceHostname + DeviceAddress, KUMA регистрирует разные источники при следующих условиях:
  • Значения обязательных полей совпадают, но для событий определяются разные тенанты.
  • Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
  • Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.

Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.

Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.

Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в веб-интерфейсе KUMA в разделе Состояние источников на вкладке Политики мониторинга.

При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.

В этом разделе

Список источников событий

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!