Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский

Содержание

Состояние источников

В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор. Источники событий идентифицируются по следующим полям событий (данные в этих полях регистрозависимые):

  • DeviceProduct
  • DeviceAddress и / или DeviceHostName

Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников в закладке Список источников событий. Данные обновляются ежеминутно.

Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в веб-интерфейсе KUMA в разделе Состояние источников в закладке Политики мониторинга.

При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.

В этом разделе

Список источников событий

Политики мониторинга
В начало
[Topic 221645]

Список источников событий

Источники событий отображаются в таблице в разделе Состояние источниковСписок источников событий. На одной странице отображается до 250 источников. Таблицу можно сортировать, нажимая на заголовок столбца нужного параметра. При нажатии на источник событий открывается график поступления данных.

Источники событий можно искать по названию с помощью поля Поиск. Поиск осуществляется с помощью регулярных выражений (RE2).

При необходимости вы можете настроить период обновления данных в таблице. Доступные периоды обновления: 1 минута, 5 минут, 15 минут, 1 час. По умолчанию указано значение: Не обновлять. Настройка периода обновления может потребоваться для отслеживания изменений в списке источников.

Доступны следующие столбцы:

  • Статус – статус источника:
    • зеленый – события поступают в пределах присвоенной политики мониторинга;
    • красный – частота или количество поступающих событий выходит за границы, определенные в политике мониторинга;
    • серый – источнику событий не присвоена политика мониторинга.

    Таблицу можно фильтровать по этому параметру.

  • Название – название источника события. Название формируется автоматически из следующих полей событий:
    • DeviceProduct;
    • DeviceAddress и/или DeviceHostname;
    • DeviceProcessName;
    • Tenant.

    Вы можете изменить название источника событий. Название может содержать не более 128 символов Юникода.

  • Имя хоста или IP-адрес – название хоста или IP-адрес, откуда поступают события.
  • Политика мониторинга – название политики мониторинга, назначенной источнику событий.
  • Поток – частота, с которой из источника поступают события.
  • Нижний порог – нижняя граница допустимого количества поступающих событий, указанная в политике мониторинга.
  • Верхний порог – верхняя граница допустимого количества поступающих событий, указанная в политике мониторинга.
  • Тенант – тенант, к которому относятся события, поступающие из источника.

Если выбрать источники событий, становятся доступны следующие кнопки:

  • Сохранить в CSV – с помощью этой кнопки можно выгрузить данные выбранных источников событий в файл с названием event-source-list.csv в кодировке UTF-8.
  • Включить политику и Выключить политику – с помощью этих кнопок для источников событий можно включить или выключить политику мониторинга. При включении требуется выбрать политику в раскрывающемся списке. При выключении требуется указать, на какой период необходимо отключить политику: временно или навсегда.

    Если для выбранного источника событий нет политики, кнопка Включить политику будет неактивна. Эта кнопка также будет неактивной в том случае, если выбраны источники из разных тенантов, однако у пользователя нет доступных политик в общем тенанте.

    В редких случаях из-за наложения внутренних процессов KUMA через несколько секунд после выключения политики ее статус может снова измениться с серого на зеленый. В таких случаях необходимо повторно выключить политику мониторинга.

  • Удалить источник событий – с помощью этой кнопки источники событий можно удалить из таблицы. Статистика по этому источнику также будет удалена. Если данные из источника продолжают поступать в коллектор, источник событий снова появится в таблице, при этом его старая статистика учитываться не будет.

По умолчанию на странице отображается и, следовательно, доступно для выбора, не больше 250 источников событий. Если источников событий больше, чтобы их можно было выбрать, необходимо загрузить дополнительные источники событий, нажав в нижней части окна на кнопку Показать еще 250.

В начало
[Topic 221773]

Политики мониторинга

Политики мониторинга источников событий отображаются в таблице в разделе Состояние источниковПолитики мониторинга. Таблицу можно сортировать, нажимая на заголовок столбца нужного параметра. При нажатии на политику открывается область данных с ее параметрами, которые можно изменить.

Доступны следующие столбцы:

  • Название – название политики мониторинга.
  • Нижний порог – нижняя граница допустимого количества поступающих событий, указанная в политике мониторинга.
  • Верхний порог – верхняя граница допустимого количества поступающих событий, указанная в политике мониторинга.
  • Интервал – период, который учитывается политикой мониторинга.
  • Тип – тип политики мониторинга:
    • byCount – политикой мониторинга отслеживается количество поступающих событий.
    • byEPS – политикой мониторинга отслеживается частота поступающих событий.
  • Тенант – тенант, к которому относится политика мониторинга.

Чтобы добавить политику мониторинга:

  1. В веб-интерфейсе KUMA в разделе Состояние источниковПолитики мониторинга нажмите Добавить политику и в открывшемся окне укажите параметры:
    • В поле Название политики введите уникальное имя создаваемой политики. Название должно содержать от 1 до 128 символов Юникода.
    • В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать политика. От выбора тенанта зависит, для каких источников событий можно будет включить политику мониторинга.
    • В раскрывающемся списке Тип политики выберите, как будут отслеживаться поступающие события: по частоте или по количеству.
    • В поле Нижний порог и Верхний порог определите, выход за какие границы будет считаться отклонением от нормы, при котором политика мониторинга будет срабатывать, создавая алерт и рассылая уведомления.
    • В поле Период подсчета укажите, за какой период в политике мониторинга должны учитываться данные из источника мониторинга. Максимальное значение: 14 дней.
    • При необходимости укажите электронные адреса, на которые следует отправить уведомления о срабатывании политики мониторинга KUMA. Для добавления каждого адреса необходимо нажимать на кнопку Адрес электронной почты.

      Для рассылки уведомлений необходимо настроить подключение к SMTP-серверу.

  2. Нажмите Добавить.

Политика мониторинга добавлена.

Чтобы удалить политику мониторинга,

Выберите одну или несколько политик, нажмите Удалить политику и подтвердите действие.

Невозможно удалить предустановленные политики мониторинга, а также политики, назначенные источникам данных.

В начало
[Topic 221775]