Точки назначения

Ресурсы точек назначения для получения событий и их последующей отправки в другие сервисы. Параметры точек назначения указываются на двух закладках: Основные параметры и Дополнительные параметры. Набор доступных параметров зависит от выбранного типа точки назначения.

Основные параметры

Название (обязательно) – уникальное имя для этого типа ресурса. Должно содержать от 1 до 128 символов Юникода.
Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
Переключатель Выключено – используется в том случае, если события не нужно отправляться в точку назначения. По умолчанию отправка событий включена.
Тип (обязательно) – раскрывающийся список для выбора типа точки назначения:
- nats – используется для коммуникации через NATS.
- tcp – используется для связи по протоколу TCP.
- http – используется для связи по протоколу HTTP.
- kafka – используется для коммуникаций с помощью kafka.
- file – используется для записи в файл.
- storage – используется для передачи данных в хранилище.
- correlator – используется для передачи данных в коррелятор.
URL (обязательно) – URL, куда следует отправлять события. В URL требуется указывать вместе с портом. Например: hostname:port.
Для всех типов, кроме nats и file с помощью кнопки URL можно указать несколько адресов отправки, если в вашу лицензию KUMA включен модуль High Level Availability.

Если в качестве типа точки назначения выбраны storage или correlator, поле URL можно заполнить автоматически с помощью раскрывающегося списка Копировать URL сервиса, в котором отображаются активные сервисы выбранного типа.
Топик (обязательно) – параметр типов точек назначения nats и kafka. Топик, в который должны записываться данные. Топик должен содержать от 1 до 255 символов Юникода.
Описание – описание ресурса: до 256 символов Юникода.

Дополнительные параметры

Сжатие – раскрывающийся список, в котором можно включить сжатие Snappy. По умолчанию сжатие Выключено.
Прокси-сервер – раскрывающийся список для выбора ресурса прокси-сервера.
Размер буфера – поле, в котором можно указать размер буфера (в байтах) для ресурса точки назначения. Значение по умолчанию: 1 МБ; максимальное: 64 МБ.
Время ожидания – поле, в котором можно указать время ожидания (в секундах) ответа другого сервиса или компонента. Значение по умолчанию: 30.
Размер дискового буфера – поле, в котором можно указать размер дискового буфера в байтах. По умолчанию размер равен 10 ГБ.
Идентификатор хранилища – идентификатор хранилища NATS.
- Режим TLS – использование шифрования TLS:
  - Выключено (по умолчанию) – не использовать шифрование TLS.
  - Включено – использовать шифрование, но без верификации сертификата.
  - С верификацией – использовать шифрование с верификацией сертификата, подписанного корневым сертификатом KUMA. Корневой сертификат и ключ KUMA создаются автоматически при установке программы и располагаются на сервере Ядра KUMA в папке /opt/kaspersky/kuma/core/certificates/.
  При использовании TLS невозможно указать IP-адрес в качестве URL.
Политика выбора URL – раскрывающийся список, в котором можно выбрать способ определения, на какой URL следует отправлять события, если URL было указано несколько:
- Любой
- Сначала первый
- По очереди
Разделитель – этот раскрывающийся список используется для указания символа, определяющего границу между событиями. По умолчанию используется \n.
Путь – путь к файлу, если выбран тип точки назначения file.
Очистка буфера – это поле используется для установки времени (в секундах) между отправкой данных в точку назначения. Значение по умолчанию: 100.
Рабочие процессы – это поле используется для установки количества служб, обрабатывающих очередь. Значение по умолчанию равно количеству vCPU сервера, на котором установлено Ядро KUMA.
Вы можете установить проверки работоспособности, используя поля Путь проверки работоспособности и Ожидание проверки работоспособности. Вы также можете отключить проверку работоспособности, установив флажок Проверка работоспособности отключена.
Отладка – раскрывающийся список, в котором можно указать, будет ли включено логирование ресурса. По умолчанию указывается значение Выключено.
С помощью раскрывающегося списка Дисковый буфер можно включить или выключить использование дискового буфера. По умолчанию дисковый буфер отключен.
В разделе Фильтр можно задать условия определения событий, которые будут обрабатываться ресурсом правила агрегации. В раскрывающемся списке можно выбрать существующий ресурс фильтра или выбрать Создать, чтобы создать новый фильтр.
Создание фильтра в ресурсах
1. В раскрывающемся меню Фильтр выберите пункт Создать.
2. Если хотите сохранить фильтр в качестве отдельного ресурса, включите переключатель Сохранить фильтр. Это может оказаться полезным, если вы решите использовать один и тот же фильтр в разных сервисах. По умолчанию переключатель выключен.
3. Если вы включили переключатель Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
4. В разделе условия задайте условия, которым должны соответствовать отсеиваемые события:
  - С помощью кнопки Добавить условие добавляются условия фильтра, можно выбрать два значения (левый и правый операнды) и назначить операцию, которую вы хотите выполнить с выбранными значениями. Результат операции – Истина (True) или Ложь (False).
    - В раскрывающемся списке оператор необходимо выбрать функцию, которую должен выполнять фильтр.
      Операторы фильтров
      
      = – левый операнд равен правому операнду.
      < – левый операнд меньше правого операнда.
      <= – левый операнд меньше или равен правому операнду.
      > – левый операнд больше правого операнда.
      >= – левый операнд больше или равен правому операнду.
      inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      contains – левый операнд содержит значения правого операнда.
      startsWith – левый операнд начинается с одного из значений правого операнда.
      endsWith – левый операнд заканчивается одним из значений правого операнда.
      match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      inActiveList – этот фильтр имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      inCategory – устройству в левом операнде назначается по крайней мере одна из категорий устройств правого операнда.
      inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      С помощью флажка с учетом регистра в раскрывающемся списке оператор можно указать, требуется ли учитывать регистр значений, переданных в фильтр. По умолчанию флажок снят.
    - В раскрывающихся списках Левый операнд и Правый операнд необходимо выбрать, откуда поступят данные, с которыми произведет действие фильтр. В результате выбора появляются дополнительные параметры, с помощью которых необходимо точно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.
    - С помощью раскрывающегося списка Если можно выбрать, требуется ли создать отрицательное условие фильтра.
    Условие можно удалить с помощью кнопки .
  - С помощью кнопки Добавить группу добавляются группы условий. Оператор И можно переключать между значениями И, ИЛИ, НЕ.
    Группу условий можно удалить с помощью кнопки .
  - С помощью кнопки Добавить фильтр в условия добавляются существующие ресурсы фильтров, которые выбираются в раскрывающемся списке Выберите фильтр. В ресурс вложенного фильтра можно перейти с помощью кнопки .
    Вложенный фильтр можно удалить с помощью кнопки .

В начало