Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский

Содержание

Виджеты

Виджеты в KUMA используются для получения аналитики для панели мониторинга и отчетов.

При нажатии на заголовки или легенду виджетов событиях, алертах, инцидентах или активных листах открывается соответствующий раздел веб-интерфейса KUMA с данными из виджета, полученными с помощью фильтров раздела и/или поисковым запросом. Подробнее см. ниже. Этот функционал недоступен в режиме создания и редактирования макетов.

Если в виджете настроено деление периода, по которому строится аналитика, на отрезки, то значения или графики будут отображаться парами: аналитика за текущий отрезок периода (пользовательский цвет) и аналитика за предыдущий отрезок периода (серый цвет).

Виджеты организованы в группы, каждая из которых связана с типом аналитики, которую она предоставляет. В KUMA доступны следующие группы виджетов и виджеты:

  • События – виджет для создания аналитики на основе событий.

    При нажатии на заголовок этого виджета можно перейти в раздел События веб-интерфейса KUMA. При этом для запроса событий из виджета применяется SQL-запрос, указанный в виджете. Запрос указывается без группировки (за исключением табличных графиков), но с учетом условий, указанных в параметре WHERE. Параметр LIMIT в запросе принимается равным 250.

  • Активные листы – виджет для создания аналитики на основе активных листов корреляторов.

    При нажатии на заголовок этого виджета можно перейти в раздел активного листа, по которому строится аналитика виджета.

  • Алерты – группа для аналитики об алертах. При нажатии на заголовок или легенду виджетов этой группы можно перейти в раздел Алерты веб-интерфейса KUMA для подробного просмотра данных из виджета.

    В группу входят следующие виджеты:

    • Активные алерты – количество незакрытых алертов.
    • Активные алерты по тенантам – количество незакрытых алертов, сгруппированных по тенантам.
    • Алерты по тенантам – количество алертов всех статусов, сгруппированных по тенантам.
    • Неназначенные алерты – количество алертов со статусом Новый.
    • Алерты по исполнителю – количество назначенных алертов, сгруппированных по исполнителю.
    • Алерты по статусу – количество алертов, сгруппированных по статусу.
    • Алерты по уровню важности – количество незакрытых алертов, сгруппированных по уровню важности.
    • Алерты по правилу корреляции – количество незакрытых алертов, сгруппированных по правилам корреляции. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Последние алерты – таблица, содержащая последние 10 незакрытых алертов. Если незакрытых алертов в выбранных в виджете тенантах больше 10, часть из них отображаться не будет.
    • Распределение алертов – количество алертов, созданных в течение указанного в виджете периода.
  • Активы – группа для аналитики об активах из обработанных событий. В эту группу входят следующие виджеты:
    • Затронутые активы – таблица связанных с алертами активов, в которой указан уровень важности актива и количество незакрытых алертов, с которыми он связан.
    • Категории затронутых активов – категории активов, привязанных к незакрытым алертам.
    • Количество активов – количество активов, добавленных в KUMA.
    • Активы в инцидентах по тенантам – количество активов в незакрытых инцидентах, сгруппированных по тенантам.
    • Активы в алертах по тенантам – количество активов в незакрытых алертах, сгруппированных по тенантам.
  • Инциденты – группа для аналитики об инцидентах. При нажатии на заголовок или легенду виджетов этой группы можно перейти в раздел Инциденты веб-интерфейса KUMA для подробного просмотра данных из виджета.

    В группу входят следующие виджеты:

    • Активные инциденты – количество незакрытых инцидентов.
    • Неназначенные инциденты – количество инцидентов со статусом Открыт.
    • Распределение инцидентов – количество инцидентов, созданных в течение указанного в виджете периода.
    • Инциденты по исполнителю – количество инцидентов со статусом Назначен, сгруппированных по пользователям KUMA.
    • Инциденты по статусам – количество инцидентов, сгруппированных по статусам.
    • Инциденты по уровню важности – количество незакрытых инцидентов, сгруппированных по уровню важности. Доступные типы диаграмм: круговая, столбчатая.
    • Активные инциденты по тенантам – количество незакрытых инцидентов, сгруппированных по тенантам, доступным пользователю.
    • Все инциденты – количество инцидентов всех статусов.
    • Все инциденты по тенантам – количество инцидентов всех статусов, сгруппированных по тенантам.
    • Активы в инцидентах – количество активов в незакрытых инцидентах. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Категории активов в инцидентах – категории активов, которые затронуты незакрытыми инцидентами. Доступные типы диаграмм: круговая, столбчатая. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Пользователи в инцидентах – пользователи, затронутые в инцидентах. Доступные типы диаграмм: таблица, круговая, столбчатая. Для этого виджета недоступны подробные сведения по нажатию на заголовок виджета.
    • Последние инциденты – последние 10 незакрытых инцидентов. Если незакрытых инцидентов в выбранных в виджете тенантах больше 10, часть из них отображаться не будет.
  • Источники событий – группа для аналитики об источниках событий. В группу входят следующие виджеты:
    • Топ источников событий по количеству алертов – количество незакрытых алертов, сгруппированных по источникам событий.
    • Топ источников событий по условному рейтингу – количество событий, для которых существует незакрытый алерт, сгруппированных по источникам событий.

      В связи с оптимизациями хранения событий в алертах в ряде случаев количество алертов созданных источниками может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими настройками являются более ресурсоемкими.

  • Пользователи – группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
    • Пользователи в алертах – количество пользователей, связанных с незакрытыми алертами.
    • Количество пользователей AD – количество учетных записей в Active Directory, полученных по LDAP в течение указанного в виджете периода.

В этом разделе

Стандартные виджеты

Настраиваемая аналитика по событиям

Настраиваемая аналитика по активным листам
В начало
[Topic 218042]

Стандартные виджеты

В этом разделе описываются параметры всех виджетов, кроме виджета События и Активные листы.

Доступные параметры виджетов зависят от выбранного типа виджета. Тип виджета определяется по значку:

  • pie – круговая диаграмма
  • counter – счетчик
  • table – таблица
  • bar1 – столбчатая диаграмма
  • bar2 – календарная диаграмма

Параметры круговых диаграмм, счетчиков и таблиц

Параметры круговых диаграмм, счетчиков и таблиц располагаются на одной закладке. Набор параметров зависит от выбранного виджета:

  • Название – поле для названия виджета. Должно содержать от 1 до 128 символов Юникода.
  • Описание – поле для описания виджета. Вы можете добавить до 4000 символов Юникода, описывающих виджет.
  • Тенант – раскрывающийся список для выбора тенанта, по данным которого будет отображаться аналитика. По умолчанию используется параметр Как на макете.
  • Период – раскрывающийся список для настройки периода времени, за который должна отображаться аналитика. Доступные варианты:
    • Как на макете – когда выбран этот параметр, значение периода времени виджета отражает период, который был настроен для макета. Этот вариант выбран по умолчанию.
    • 1 час – получить аналитику за предыдущий час.
    • 1 день – получить аналитику за предыдущий день.
    • 7 дней – получить аналитику за предыдущие 7 дней.
    • 30 дней – получить аналитику за предыдущие 30 дней.
    • В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  • Хранилище – раскрывающийся список для выбора хранилища, события которого будут использоваться для создания аналитики.
  • Цвет – раскрывающийся список для выбора цвета отображения информации:
    • по умолчанию – использовать цвет шрифта, который используется в вашем браузере по умолчанию;
    • зеленый;
    • красный;
    • синий;
    • желтый.
  • Горизонтальный – включите этот переключатель, если хотите использовать горизонтальную гистограмму вместо вертикальной. По умолчанию этот переключатель выключен.
  • Легенда – выключите этот переключатель, если не хотите, чтобы в виджете отображалась легенда для аналитики. По умолчанию этот переключатель включен.
  • Пустые значения в легенде – включите этот переключатель, если хотите, чтобы в легенде для аналитики отображались параметры с нулевыми значениями. По умолчанию этот переключатель выключен.
  • Десятичные знаки – это поле используется, чтобы указать степень округления значений. Значение по умолчанию: Авто.

Параметры столбчатых диаграмм

Параметры столбчатых диаграмм располагаются в двух закладках. Набор параметров зависит от выбранного виджета:

  • Actions – закладка предназначена для настройки масштаба графика. Доступные параметры:
    • Поля Минимальное значение Y и Максимальное значение Y используются для определения масштаба оси Y. Поле Десятичные знаки слева используется для установки параметра округления для значений оси Y.
    • Поля Минимальное значение X и Максимальное значение X используются для определения масштаба оси X. Поле Десятичные знаки справа используется для установки параметра округления для значений оси X.

      На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

  • wrench – закладка предназначена для настройки отображения аналитики виджета.
    • Название – поле для названия виджета. Должно содержать от 1 до 128 символов Юникода.
    • Описание – поле для описания виджета. Вы можете добавить до 512 символов Юникода, описывающих виджет.
    • Тенант – раскрывающийся список для выбора тенанта, по данным которого будет отображаться аналитика.
    • Период – раскрывающийся список для настройки периода времени, за который должна отображаться аналитика. Доступные варианты:
      • Как на макете – когда выбран этот параметр, значение периода времени виджета отражает период, который был настроен для макета. Этот вариант выбран по умолчанию.
      • 1 час – получить аналитику за предыдущий час.
      • 1 день – получить аналитику за предыдущий день.
      • 7 дней – получить аналитику за предыдущие 7 дней.
      • 30 дней – получить аналитику за предыдущие 30 дней.
      • В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.
    • Хранилище – раскрывающийся список для выбора хранилища, события которого будут использоваться для создания аналитики.
    • Цвет – раскрывающийся список для выбора цвета отображения информации:
      • по умолчанию – использовать цвет шрифта, который используется в вашем браузере по умолчанию.
      • зеленый
      • красный
      • синий
      • желтый
    • Горизонтальный – включите этот переключатель, если хотите использовать горизонтальную гистограмму вместо вертикальной. По умолчанию этот переключатель выключен.

      При включении этого параметра горизонтальная прокрутка при большом количестве данных отображаться не будет и вся имеющаяся информация будет отражена в заданном размере виджета. Если данных для отображения много, рекомендуется увеличить размер виджета.

    • Легенда – выключите этот переключатель, если не хотите, чтобы в виджете отображалась легенда для аналитики. По умолчанию этот переключатель включен.
    • Пустые значения в легенде – включите этот переключатель, если хотите, чтобы в легенде для аналитики отображались параметры с нулевыми значениями. По умолчанию этот переключатель выключен.
    • Десятичные знаки – это поле используется, чтобы указать степень округления значений. Значение по умолчанию: Авто.
В начало
[Topic 221919]

Настраиваемая аналитика по событиям

Вы можете использовать виджет События для получения необходимой аналитики на основе SQL-запросов по событиям. В зависимости от выбранного значения типа графика доступны две или три закладки параметров:

  • Selectors – эта закладка используется для определения типа виджета и построения поиска для аналитики.
  • Actions – закладка предназначена для настройки масштаба графика. Эта закладка доступна только для типов графиков (см. ниже) Столбчатая диаграмма, Линейная диаграмма, Календарная диаграмма.
  • wrench – закладка предназначена для настройки отображения аналитики виджета.

Следующие параметры доступны для закладки Selectors:

  • График – этот раскрывающийся список используется для выбора типа графика виджета. Доступные варианты:
    • Круговая диаграмма
    • Столбчатая диаграмма
    • Счетчик
    • Линейная диаграмма
    • Таблица
    • Календарная диаграмма
  • Тенант – раскрывающийся список для выбора тенанта, по данным которого будет отображаться аналитика. По умолчанию используется параметр Как на макете.
  • Период – раскрывающийся список для настройки периода времени, за который должна отображаться аналитика. Доступные варианты:
    • Как на макете – когда выбран этот параметр, значение периода времени виджета отражает период, который был настроен для макета. Этот вариант выбран по умолчанию.
    • 1 час – получить аналитику за предыдущий час.
    • 1 день – получить аналитику за предыдущий день.
    • 7 дней – получить аналитику за предыдущие 7 дней.
    • 30 дней – получить аналитику за предыдущие 30 дней.
    • В течение периода – получать аналитику за выбранный период времени. Период времени устанавливается с помощью календаря, который отображается при выборе этого параметра.

      Верхняя граница периода не включается в определяемый с ее помощью отрезок времени. Это означает, что, например, для получения аналитики за сутки следует настроить период День1, 00:00:00 – День 2, 00:00:00, а не День 1, 00:00:00 – День 1, 23:59:59.

  • Показывать данные за предыдущий период – переключатель, с помощью которого в виджете можно включить отображение данных сразу за два периода: за текущий и за предыдущий. Это может быть полезно для оценки динамики изменений.
  • Хранилище – хранилище, в котором должен выполняться поиск.
  • Поле SQL-запроса – в этом можно ввести поисковый запрос, аналогичный фильтрации событий с использованием синтаксиса SQL.

    Для виджетов События с помощью кнопки ExtraNormalizers можно открыть конструктор запросов, аналогичный параметрам конструктора фильтра событий:

    Описание параметров конструктора запросов

    • SELECT – используйте эти поля для определения полей событий, которые необходимо извлечь для аналитики. Количество доступных полей зависит от выбранного типа графика виджета (см. выше).

      В левом выпадающем списке вы можете выбрать поля событий из необходимых для аналитики.

      Среднее поле показывает, для чего выбранное поле используется в виджете: metric (метрики) или value (значение).

      При выборе типа виджета Таблица значения в средних полях становятся доступны для редактирования и отображаются в виде названий столбцов. В качестве значений доступны только символы ANSII-ASCII.

      В правом раскрывающемся списке вы можете выбрать, как должны обрабатываться значения поля события типа metric (метрики) для виджета:

      • count – выберите этот вариант для подсчета событий. Эта опция доступна только для поля события ID.
      • max – выберите этот параметр, чтобы отобразить максимальное значение поля события из выборки событий.
      • min – выберите этот параметр, чтобы отображать минимальное значение поля события из выборки событий.
      • avg – выберите эту опцию, чтобы отображать среднее значение поля события из выборки событий.
      • sum – выберите этот параметр, чтобы отобразить сумму значений полей событий из выборки событий.
    • SOURCE – этот раскрывающийся список используется для выбора типа источника данных. Для выбора доступна только опция events (события).
    • WHERE – эта группа настроек используется для создания условий поиска:

      В левом раскрывающемся списке вы можете выбрать поле события, которое хотите использовать в качестве фильтра.

      В среднем выпадающем списке вы можете выбрать нужный оператор. Доступные операторы различаются в зависимости от типа значения выбранного поля события.

      Справа вы можете выбрать или ввести значение поля события. В зависимости от выбранного типа значения поля события может потребоваться ввести значение вручную, выбрать его в раскрывающемся списке или выбрать в календаре.

      Вы можете добавить условия поиска с помощью кнопки Добавить условие или удалить их с помощью кнопки со значком крестика.

      Вы также можете добавить группы условий, используя кнопку Добавить группу. По умолчанию группы условий добавляются с оператором AND, однако если на него нажать, оператор можно поменять. Доступные значения: AND, OR, NOT. Группы условий удаляются с помощью кнопки Удалить группу.

    • GROUP BY – этот раскрывающийся список используется для выбора полей событий, по которым осуществляется группировка событий. Этот параметр недоступен для типа графиков Счетчик.
    • ORDER BY – этот раскрывающийся список используется для определения способа сортировки информации из результатов поиска в виджете. Этот параметр недоступен для типов графиков Календарная диаграмма и Счетчик.

      В левом раскрывающемся списке вы можете выбрать значение, метрику или поле события, которое будет использоваться для сортировки.

      В правом раскрывающемся списке можно выбрать порядок сортировки: ASC – для сортировки по возрастанию, DESC – для сортировки по убыванию.

      Для графиков типа Таблица можно добавить условия сортировки с помощью кнопки Добавить столбец.

    • LIMIT – это поле используется для установки максимального количества точек данных для виджета. Этот параметр недоступен для типов графиков Календарная диаграмма и Счетчик.

    Пример условий поиска в конструкторе запросов

    WidgetCustomExample

    Параметры условия поиска для виджета, показывающие среднее количество байтов, полученных с одного хоста

    Используемые в поисковых запросах псевдонимы не должны содержать пробелов.

Следующие параметры доступны для закладки Actions:

  • Поля Минимальное значение Y и Максимальное значение Y используются для определения масштаба оси Y. Поле Десятичные знаки слева используется для установки параметра округления для значений оси Y.
  • Поля Минимальное значение X и Максимальное значение X используются для определения масштаба оси X. Поле Десятичные знаки справа используется для установки параметра округления для значений оси X.

    На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

  • Поля Толщина линии и Размер указателя отображаются для типа графика Линейная диаграмма и используются для настройки отображения графика.

Следующие параметры доступны для закладки wrench:

  • Название – поле для названия виджета. Должно содержать от 1 до 128 символов Юникода.
  • Описание – поле для описания виджета. Вы можете добавить до 512 символов Юникода, описывающих виджет.
  • Цвет – раскрывающийся список для выбора цвета отображения информации:
    • по умолчанию – использовать цвет шрифта, который используется в вашем браузере по умолчанию;
    • зеленый;
    • красный;
    • синий;
    • желтый.
  • Горизонтальный – включите этот переключатель, если хотите использовать горизонтальную гистограмму вместо вертикальной. По умолчанию этот переключатель выключен.

    При включении этого параметра горизонтальная прокрутка при большом количестве данных отображаться не будет и вся имеющаяся информация будет отражена в заданном размере виджета. Если данных для отображения много, рекомендуется увеличить размер виджета.

  • Легенда – выключите этот переключатель, если не хотите, чтобы в виджете отображалась легенда для аналитики. По умолчанию этот переключатель включен.
  • Пустые значения в легенде – включите этот переключатель, если хотите, чтобы в легенде для аналитики отображались параметры с нулевыми значениями. По умолчанию этот переключатель выключен.
  • Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
  • Длительность отрезков периода (доступно для типов графика Календарная диаграмма) – раскрывающийся список для выбора длительности отрезков, на которые требуется делить период.
В начало
[Topic 217867]

Настраиваемая аналитика по активным листам

Вы можете использовать виджеты Активные листы для получения необходимой аналитики на основе SQL-запросов активным листам. В зависимости от выбранного значения типа графика доступны две или три закладки параметров:

  • Selectors – эта закладка используется для определения типа виджета и построения поиска для аналитики.
  • Actions – закладка предназначена для настройки масштаба графика. Эта закладка доступна только для типов графиков (см. ниже) Столбчатая диаграмма.
  • wrench – закладка предназначена для настройки отображения аналитики виджета.

Следующие параметры доступны для закладки Selectors:

  • График – этот раскрывающийся список используется для выбора типа графика виджета. Доступные варианты:
    • Круговая диаграмма
    • Столбчатая диаграмма
    • Счетчик
    • Таблица
  • Тенант – раскрывающийся список для выбора тенанта, по данным которого будет отображаться аналитика. По умолчанию используется параметр Как на макете.
  • Коррелятор – название сервиса коррелятор, по активному листу которого требуется аналитика.
  • Активный лист – название активного листа, в котором должен выполняться поиск.

    Один и тот же ресурс активного листа может быть использован разными сервисами корреляторов, однако при этом для каждого коррелятора создается своя сущность активного листа. Таким образом, содержимое активных листов, используемых разными корреляторами, различается, даже если идентификатор и название активных листов одинаковые.

  • Поле SQL-запроса – в этом можно ввести поисковый запрос, аналогичный поиску событий с использованием синтаксиса SQL.

    В отличие от поиска по событиям, в поисковых запросах по активным листам параметру FROM должно соответствовать значение `records`.

    Для запросов доступны служебные поля _key (поле с ключами записей активного листа) и _count (сколько раз эта запись была добавлена в активный лист), а также пользовательские поля.

    Примеры:

    • SELECT count(_key) AS metric, Status AS value FROM `records` GROUP BY value ORDER BY metric DESC LIMIT 250 – Запрос для круговой диаграммы, который возвращает количество ключей активного листа (агрегация count по полю _key) и все варианты значений пользовательского поля Status. В виджете отображается круговая диаграмма с общим количеством записей активного листа, пропорционально разделенным на количество вариантов значений поля Status.
    • SELECT Name, Status, _count AS Number FROM `records` WHERE Description ILIKE '%ftp%' ORDER BY Name DESC LIMIT 250 – Запрос для таблицы, которая возвращает значения пользовательских полей Name и Status, а также служебного поля _count у тех записей активного листа, в которых значения пользовательского поля Description соответствует запросу ILIKE '%ftp%'. В виджете отображается таблица со столбцами Status, Name и Number.

    Если в SQL-запросе используется функция преобразования даты и времени (например, fromUnixTimestamp64Milli) и при этом обрабатываемое поле не содержит даты и времени, в виджете будет отображаться ошибка. Чтобы избежать этого, используйте функции, которые могут обрабатывать нулевое значение. Пример: SELECT _key, fromUnixTimestamp64Milli(toInt64OrNull(DateTime)) as Date FROM `records` LIMIT 250.

Следующие параметры доступны для закладки Actions:

  • Поля Минимальное значение Y и Максимальное значение Y используются для определения масштаба оси Y. Поле Десятичные знаки слева используется для установки параметра округления для значений оси Y.
  • Поля Минимальное значение X и Максимальное значение X используются для определения масштаба оси X. Поле Десятичные знаки справа используется для установки параметра округления для значений оси X.

    На осях графиков могут отображаться отрицательные значения. Это связано с масштабированием графиков на виджете и может быть исправлено выставлением нуля в качестве минимальных значений графиков вместо Авто.

Следующие параметры доступны для закладки wrench:

  • Название – поле для названия виджета. Должно содержать от 1 до 128 символов Юникода.
  • Описание – поле для описания виджета. Вы можете добавить до 512 символов Юникода, описывающих виджет.
  • Цвет – раскрывающийся список для выбора цвета отображения информации:
    • по умолчанию – использовать цвет шрифта, который используется в вашем браузере по умолчанию.
    • зеленый
    • красный
    • синий
    • желтый
  • Горизонтальный – включите этот переключатель, если хотите использовать горизонтальную гистограмму вместо вертикальной. По умолчанию этот переключатель выключен.

    При включении этого параметра горизонтальная прокрутка при большом количестве данных отображаться не будет и вся имеющаяся информация будет отражена в заданном размере виджета. Если данных для отображения много, рекомендуется увеличить размер виджета.

  • Легенда – выключите этот переключатель, если не хотите, чтобы в виджете отображалась легенда для аналитики. По умолчанию этот переключатель включен.
  • Пустые значения в легенде – включите этот переключатель, если хотите, чтобы в легенде для аналитики отображались параметры с нулевыми значениями. По умолчанию этот переключатель выключен.
  • Десятичные знаки – поле для ввода количества десятичных знаков, до которых отображаемое значение должно быть округлено.
В начало
[Topic 234198]