Kaspersky Unified Monitoring and Analysis Platform
3.2
Русский
Руководство пользователя > Ресурсы KUMA > Коннекторы > Параметры коннекторов > Коннектор, тип udp
Коннектор, тип udp

Коннекторы с типом upd используются для пассивного получения событий по протоколу UDP при работе с агентами Windows и Linux. Доступные параметры коннектора с типом udp описаны в таблицах ниже.

Вкладка Основные параметры

Параметр

Описание

Название

Уникальное имя ресурса. Максимальная длина имени составляет до 128 символов в кодировке Unicode.

Обязательный параметр.

Тенант

Название тенанта, которому принадлежит ресурс.

Обязательный параметр.

Тип

Тип коннектора – udp.

Обязательный параметр.

URL

URL-адрес, с которым требуется установить связь. Вы можете ввести URL-адрес в одном из следующих форматов:

  • <имя хоста>:<номер порта>;
  • <IPv4-адрес>:<номер порта>;
  • <IPv6-адрес>:<номер порта>;
  • :<номер порта>.

Обязательный параметр.

Auditd

Переключатель, включающий механизм auditd, который группирует полученные от коннектора строки событий auditd в одно событие auditd.

Если вы включили этот переключатель, вы не можете выбрать значение в раскрывающемся списке Разделитель, так как для механизма auditd автоматически выбирается значение \n.

Если вы включили этот переключатель в параметрах коннектора агента, вам нужно выбрать значение \n в раскрывающемся списке Разделитель в параметрах коннектора коллектора, в который агент отправляет события.

Максимальный размер сгруппированного события auditd составляет примерно 4 174 304 символов.

KUMA классифицирует события Auditd согласно алгоритму. Например, для обработки получены следующие записи:

type=LOGIN msg=audit(1712820601.957:21458): pid=4987 uid=0 subj=0:63:0:0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2348 res=1

type=SYSCALL msg=audit(1712820601.957:21458): arch=c000003e syscall=1 success=yes exit=1 a0=7 a1=7ffc9a07ba50 a2=1 a3=0 items=0 ppid=429 pid=4987 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2348 comm="cron" exe="/usr/sbin/cron" subj=0:63:0:0 key=(null)

type=PROCTITLE msg=audit(1712820601.957:21458): proctitle=2F7573722F7362696E2F43524F4E002D66

Согласно агоритму в данном случае мы получим одно однострочное событие с типом LOGIN, так как тип LOGIN имеет код 1006 и он меньше AUDIT_FIRST_EVENT равного 1300, и одно многострочное событие с SYSCALL и PROCTITLE.

Разделитель

Символ, определяющий границу между событиями:

  • \n;
  • \t;
  • \0.

Если вы не выберете значение в этом раскрывающемся списке, по умолчанию будет выбрано значение \n.

Описание

Описание ресурса. Максимальная длина описания составляет до 4000 символов в кодировке Unicode.

Вкладка Дополнительные параметры

Параметр

Описание

Отладка

Переключатель, включающий логирование ресурса. По умолчанию переключатель выключен.

Размер буфера

Размер буфера в байтах для накопления событий в оперативной памяти сервера перед отправкой на дальнейшую обработку или хранение. Вы можете указать целое положительное число. Размер буфера по умолчанию: 1 048 576 байт (1 МБ). Максимальный размер буфера: 67 108 864 байта (64 МБ).

Количество обработчиков

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки событий. Для определения количества обработчиков вы можете использовать формулу (<количество CPU>/2) + 2.

Допускается указать целое положительное число не больше 999.

Кодировка символов

Кодировка символов. По умолчанию выбрано значение UTF-8.

TTL буфера событий

Время жизни буфера для строк событий auditd в миллисекундах. Строки событий auditd попадают в коллектор KUMA и накапливаются в буфере. Это позволяет сгруппировать несколько строк событий auditd в одно событие auditd.

Отсчет времени жизни буфера начинается при получении первой строки события auditd или при истечении предыдущего времени жизни буфера. Доступные значения: от 50 до 30 000. Значение по умолчанию: 2000.

Это поле доступно, если вы включили переключатель Auditd на вкладке Основные параметры.

Строки событий auditd, накопленные в буфере, хранятся в оперативной памяти сервера. Мы рекомендуем с осторожностью увеличивать размер буфера, так как это может привести к использованию слишком большого количества оперативной памяти сервера коллектором KUMA. Вы можете просмотреть в метриках KUMA, сколько оперативной памяти сервера использует коллектор KUMA.

Если вы хотите, чтобы время жизни буфера составляло более 30 000 миллисекунд, мы рекомендуем использовать другой транспорт доставки событий auditd. Например, вы можете использовать агента или предварительно накапливать события auditd в файле, после чего обрабатывать файл коллектором KUMA.

Заголовок транспорта

Регулярное выражение для событий auditd, по которому определяются строки событий auditd. Вы можете использовать значение по умолчанию или изменить его.

Регулярное выражение должно содержать группы record_type_name, record_type_value и event_sequence_number. Если многострочное событие auditd содержит префикс, для первой строки события auditd префикс сохраняется, а для последующих – отбрасывается.

Вы можете вернуться регулярному выражению для событий auditd по умолчанию, нажав на кнопку Установить значение по умолчанию.

Сжатие

Раскрывающийся список, позволяющий настроить использование сжатия Snappy:

  • Выключено. Это значение выбрано по умолчанию.
  • С помощью Snappy.

Идентификатор статьи: 220740, Последнее изменение: 3 апр. 2025 г.
В начало