При нажатии на заголовки или легенду виджетов событиях, алертах, инцидентах или активных листах открывается соответствующий раздел веб-интерфейса KUMA с данными из виджета, полученными с помощью фильтров раздела и/или поисковым запросом. Подробнее см. ниже. Этот функционал недоступен в режиме создания и редактирования макетов.
Если в виджете настроено деление периода, по которому строится аналитика, на отрезки, то значения или графики будут отображаться парами: аналитика за текущий отрезок периода (пользовательский цвет) и аналитика за предыдущий отрезок периода (серый цвет).
Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:
События – виджет для создания аналитики на основе событий.
При нажатии на заголовок этого виджета можно перейти в раздел События веб-интерфейса KUMA. При этом для запроса событий из виджета применяется SQL-запрос, указанный в виджете. Запрос указывается без группировки (за исключением табличных графиков), но с учетом условий, указанных в параметре WHERE. Параметр LIMIT в запросе принимается равным 250.
Активные листы – виджет для создания аналитики на основе активных листов корреляторов.
При нажатии на заголовок этого виджета можно перейти в раздел активного листа, по которому строится аналитика виджета.
Алерты – группа для аналитики об алертах. При нажатии на заголовок или легенду виджетов этой группы можно перейти в раздел Алерты веб-интерфейса KUMA для подробного просмотра данных из виджета.
В группу входят следующие виджеты:
Активные алерты – количество незакрытых алертов.
Активные алерты по тенантам – количество незакрытых алертов, сгруппированных по тенантам.
Алерты по тенантам – количество алертов всех статусов, сгруппированных по тенантам.
Неназначенные алерты – количество алертов со статусом Новый.
Алерты по исполнителю – количество назначенных алертов, сгруппированных по исполнителю.
Алерты по статусу – количество алертов, сгруппированных по статусу.
Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
Последние алерты – таблица, содержащая последние 10 незакрытых алертов. Если незакрытых алертов в выбранных в виджете тенантах больше 10, часть из них отображаться не будет.
Распределение алертов – количество алертов, созданных в течение указанного в виджете периода.
Активы – группа для аналитики об активах из обработанных событий. В эту группу входят следующие виджеты:
Затронутые активы – таблица связанных с алертами активов, в которой указан уровень важности актива и количество незакрытых алертов, с которыми он связан.
Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
Количество активов – количество активов, добавленных в KUMA.
Активы в инцидентах по тенантам – количество активов в незакрытых инцидентах, сгруппированных по тенантам.
Активы в алертах по тенантам – количество активов в незакрытых алертах, сгруппированных по тенантам.
Инциденты – группа для аналитики об инцидентах. При нажатии на заголовок или легенду виджетов этой группы можно перейти в раздел Инциденты веб-интерфейса KUMA для подробного просмотра данных из виджета.
В группу входят следующие виджеты:
Активные инциденты – количество незакрытых инцидентов.
Неназначенные инциденты – количество инцидентов со статусом Открыт.
Распределение инцидентов – количество инцидентов, созданных в течение указанного в виджете периода.
Инциденты по исполнителю – количество инцидентов со статусом Назначен, сгруппированных по пользователям KUMA.
Инциденты по статусам – количество инцидентов, сгруппированных по статусам.
Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности. Доступные типы диаграмм: круговая, столбчатая.
Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным пользователю.
Все инциденты – количество инцидентов всех статусов.
Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
Активы в инцидентах – количество активов в незакрытых инцидентах. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
Категории активов в инцидентах – категории активов, которые затронуты незакрытыми инцидентами. Доступные типы диаграмм: круговая, столбчатая. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
Пользователи в инцидентах – пользователи, затронутые в инцидентах. Доступные типы диаграмм: таблица, круговая, столбчатая. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
Последние инциденты – последние 10 незакрытых инцидентов. Если незакрытых инцидентов в выбранных в виджете тенантах больше 10, часть из них отображаться не будет.
Источники событий – группа для аналитики об источниках событий. В группу входят следующие виджеты:
Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
Топ источников событий по условному рейтингу – количество событий, для которых существует незакрытый алерт, сгруппированных по источникам событий.
В связи с оптимизациями хранения событий в алертах в ряде случаев количество алертов созданных источниками может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими настройками являются более ресурсоемкими.
Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
Пользователи в алертах – количество пользователей, связанных с незакрытыми алертами.
Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного в виджете периода.