Kaspersky Unified Monitoring and Analysis Platform
3.2
Русский

Содержание

Мониторинг источников событий

В этом разделе представлена информация о мониторинге источников событий.

В этом разделе

Состояние источников

Политики мониторинга
В начало
[Topic 249532]

Состояние источников

В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор.

Вы можете настроить автоматическое определение источников событий, используя один из следующих наборов полей:

  • Пользовательский набор полей. Вы можете указать от 1 до 9 полей в желаемой последовательности. TenantID отдельно задавать не нужно, определяется автоматически.
  • Применить сопоставление по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Порядок полей не подлежит изменению.

    Определение источников происходит, если следующие поля в событиях содержат непустые значения: DeviceProduct + DeviceAddress и/или DeviceHostname + TenantID (отдельно задавать это поле не нужно, определяется автоматически). Поле DeviceProcessName может содержать пустое значение. Если поле DeviceProcessName содержит непустое значение, и остальные обязательные поля заполнены, будет определен новый источник.

    Определение источников событий в зависимости от наличия непустых значений в полях событий

    DeviceProduct

    DeviceHostName

    DeviceAddress

    DeviceProcessName

    TenantID (определяется автоматически)

     

    +

    +

     

     

    +

    Определятся источник 1

    +

     

    +

     

    +

    Определятся источник 2

    +

    +

    +

     

    +

    Определятся источник 3

    +

    +

     

    +

    +

    Определятся источник 4

    +

     

    +

    +

    +

    Определятся источник 5

    +

    +

    +

    +

    +

    Определятся источник 6

     

    +

    +

     

    +

    Источник не определяется

     

    +

     

    +

    +

    Источник не определяется

     

     

    +

    +

    +

    Источник не определяется

    +

     

     

    +

    +

    Источник не определяется

Применяется только один набор полей для всей инсталляции. При обновлении на новую версию KUMA применяется набор полей по умолчанию. Настраивать набор полей для определения источника событий может только пользователь с ролью Главный администратор. После того как вы сохраните изменения в наборе полей, ранее определенные источники событий будут удалены из веб-интерфейса KUMA и из базы данных. При необходимости вы можете вернуться к использованию набора полей для определения источников событий по умолчанию. Чтобы измененные параметры вступили в силу и KUMA начала определять источники с учетом новых параметров, перезапустите коллекторы.

Чтобы определить источники событий:

  1. В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Состояние источников нажмите кнопку в виде гаечного ключа.
  3. В открывшемся окне Настройки определения источников в раскрывающемся списке Группирующие поля для определения источника выберите поля событий, по которым вы хотите определять источники событий.

    Вы можете указать от 1 до 9 полей в желаемой последовательности. В пользовательской конфигурации KUMA определяет источники, в которых заполнено поле TenantID (отдельно задавать это поле не нужно, определяется автоматически) и хотя бы одно поле из указанных в списке Группирующие поля для определения источника. Для числовых полей 0 является пустым значением. Если для определения источников выбрано одно числовое поле и значение числового поля равно 0, источник не будет определен.

    После того, как вы сохраните измененный набор полей, будет создано событие аудита и все ранее определенные источники будут удалены из веб-интерфейса KUMA и из базы данных, назначенные политики будут отключены.

  4. Если вы хотите вернуться к списку полей для определения источника событий по умолчанию, нажмите Применить сопоставление по умолчанию. Порядок полей по умолчанию не подлежит изменению. Если вы вручную укажете поля в неверном порядке, появится ошибка и кнопка сохранения настроек будет недоступна. Корректная последовательность полей по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Минимальная конфигурация для определения источников событий с использованием набора событий по умолчанию: непустые значения в полях событий DeviceProduct + DeviceAddress и\или DeviceHostName + TenantID (определяется автоматически).
  5. Нажмите Сохранить.
  6. Перезапустите коллекторы, чтобы изменения вступили в силу и источники событий начали определяться по заданному списку полей.

Настройка определения источников выполнена.

Чтобы просмотреть события, которые относятся к источнику событий:

  1. В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Источники событий выберите в списке нужный источник событий и в столбце Название разверните меню для выбранного источника событий, нажмите на кнопку событий за <количество> дней.

    KUMA выполнит переход в раздел События, где вы сможете просмотреть список событий для выбранного источника за последние 5 минут. В запросе автоматически будут указаны значения полей, заданных в параметрах определения источника событий. При необходимости в разделе События можно изменить в запросе временной интервал и нажать Выполнить запрос повторно, чтобы просмотреть выборку за указанный промежуток времени.

Ограничения

  1. В конфигурации с использованием набора полей по умолчанию KUMA регистрирует источник событий при условии, что поля DeviceProduct + DeviceAddress и\или DeviceHostName содержатся в сыром событии.

    Если сырое событие не содержит поля DeviceProduct + DeviceAddress и\или DeviceHostName, вы можете выполнить следующие действия:

    • Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и\или DeviceHostName и нажмите ОК.
    • Использовать правило обогащения: выберите тип источника данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и\или DeviceHostName и нажмите Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.

    KUMA выполнит обогащение и зарегистрирует источник событий.

  2. Если в KUMA поступают события с одинаковыми значениями полей, определяющих источник, KUMA регистрирует разные источники при следующих условиях:
    • Значения обязательных полей совпадают, но для событий определяются разные тенанты.
    • Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
    • Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.

Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.

Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.

Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в веб-интерфейсе KUMA в разделе Состояние источников на вкладке Политики мониторинга.

При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.

В этом разделе

Список источников событий
В начало
[Topic 221645]

Список источников событий

Источники событий отображаются в таблице в разделе Состояние источниковСписок источников событий. На одной странице отображается до 250 источников. Таблицу можно сортировать, нажимая на заголовок столбца нужного параметра. При нажатии на источник событий открывается график поступления данных.

Источники событий можно искать по названию с помощью поля Поиск. Поиск осуществляется с помощью регулярных выражений (RE2).

При необходимости вы можете настроить период обновления данных в таблице. Доступные периоды обновления: 1 минута, 5 минут, 15 минут, 1 час. По умолчанию указано значение: Не обновлять. Настройка периода обновления может потребоваться для отслеживания изменений в списке источников.

Доступны следующие столбцы:

  • Статус – статус источника:
    • зеленый – события поступают в пределах присвоенной политики мониторинга;
    • красный – частота или количество поступающих событий выходит за границы, определенные в политике мониторинга;
    • серый – источнику событий не присвоена политика мониторинга.

    Таблицу можно фильтровать по этому параметру.

  • Название – название источника события. Название формируется автоматически из значений полей, заданных в параметрах определения источника событий.

    Вы можете изменить название источника событий. Название может содержать не более 128 символов в кодировке Unicode.

  • Имя хоста или IP-адрес – название хоста или IP-адрес, откуда поступают события, если в параметрах определения источников событий заданы поля DeviceHostName или DeviceAddress.
  • Политика мониторинга – название политики мониторинга, назначенной источнику событий.
  • Поток – частота, с которой из источника поступают события. В зависимости от выбранного типа политики мониторинга отображается как количество событий (для политики типа byCount) или как количество событий в секунду (EPS, для политики типа byEPS).
  • Нижний порог – нижняя граница допустимого количества поступающих событий, указанная в политике мониторинга.
  • Верхний порог – верхняя граница допустимого количества поступающих событий, указанная в политике мониторинга.
  • Тенант – тенант, к которому относятся события, поступающие из источника.

По умолчанию на странице отображается и доступно для выбора не больше 250 источников событий. Если источников событий больше, чтобы их можно было выбрать, необходимо загрузить дополнительные источники событий, нажав в нижней части окна на кнопку Показать еще 250.
Групповые операции с опцией Выбрать все работают только с отображаемыми источниками событий. Если вы нажали Выбрать все источники, но при этом в списке отображается только 500 из 1500 источников, то групповые действия по выгрузке, применению или отключению политик или удалению будут применены только к выбранным 500 источникам.

Если выбрать источники событий, становятся доступны следующие кнопки:

  • Сохранить в CSV – с помощью этой кнопки можно выгрузить данные выбранных источников событий в файл с названием event-source-list.csv в кодировке UTF-8.

    Выгрузка поля "Stream" выполняется только если на источник события была назначена политика мониторинга, тогда в выгружаемом файле будет указана единица измерения потока, взятая из политики. Если политика не назначена, пустое поле "Stream" - это ожидаемое поведение.

  • Включить политику и Выключить политику – с помощью этих кнопок для источников событий можно включить или выключить политику мониторинга. При включении требуется выбрать политику в раскрывающемся списке. При выключении требуется указать, на какой период необходимо отключить политику: временно или навсегда.

    Если для выбранного источника событий нет политики, кнопка Включить политику будет неактивна. Эта кнопка также будет неактивной в том случае, если выбраны источники из разных тенантов, однако у пользователя нет доступных политик в общем тенанте.

    В редких случаях из-за наложения внутренних процессов KUMA через несколько секунд после выключения политики ее статус может снова измениться с серого на зеленый. В таких случаях необходимо повторно выключить политику мониторинга.

  • Удалить источник событий – с помощью этой кнопки источники событий можно удалить из таблицы. Статистика по этому источнику также будет удалена. Если данные из источника продолжают поступать в коллектор, источник событий снова появится в таблице, при этом его старая статистика учитываться не будет.
В начало
[Topic 221773]

Политики мониторинга

Данные о частоте и количестве поступающих событий являются показателем состояния системы. Например, можно обнаружить, когда поток событий стал аномально большим, слишком слабым или вообще прекратился. Политики мониторинга предназначены для отслеживания таких ситуаций. В политике вы можете задать нижнее пороговое значение, дополнительно задать верхний порог, и каким образом будут считаться события: по частоте или по количеству.

Политику нужно применить к источнику события. После применения политики вы можете отслеживать статус источника: зеленый - все хорошо, и красный - поток вышел за пороговое значение. В случае красного статуса генерируется событие типа Monitoring. Событие мониторинга формируется в тенанте, которому принадлежит источник события, и направляется в хранилище тенанта Main (хранилище должно быть предварительно развернуто в тенанте Main). Если у вас есть доступ к тенанту источника событий и нет доступа к тенанту Main, вы все равно можете осуществлять поиск по событиям мониторинга в хранилище тенанта Main, события мониторинга доступных вам тенантов будут отображаться. Также доступна отправка уведомлений по произвольному адресу электронной почты. Политики мониторинга источников событий отображаются в таблице в разделе Состояние источниковПолитики мониторинга. Таблицу можно сортировать, нажимая на заголовок столбца нужного параметра. Если вы нажмете на политику, откроется область данных с параметрами политики. Параметры можно изменить. Максимальный размер списка политик не ограничен. Если количество политик больше 250, будет доступна кнопка Показать еще 250.

Алгоритм применения политики мониторинга

Политики мониторинга применяются к источнику события по следующему алгоритму:

  1. Поток событий подсчитывается на коллекторе.
  2. Сервер Ядра KUMA с интервалом в 15 секунд собирает с коллекторов информацию о потоке.
  3. Собранные данные хранятся на сервере Ядра KUMA в СУБД временных рядов Victoria Metrics, и глубина хранения данных на сервере Ядра KUMA составляет 15 суток.
  4. Один раз в минуту выполняется инвентаризация источников событий.
  5. Поток подсчитывается отдельно для каждого источника событий по следующим правилам:
    • Если к источнику событий применяется политика мониторинга, то отображаемое число потока событий считается за интервал времени, указанный в политике.

      В зависимости от типа политики число потока событий подсчитывается в количестве событий (для типа политики byCount) или в количестве событий в секунду (EPS, для политики типа byEPS). Вы можете узнать, в чем считается поток для назначенной политики, в столбце Поток на странице Список источников событий.

    • Если к источнику событий не применяется политика мониторинга, число потока событий отображает последнее значение.
  6. Поток событий проверяется на соответствие параметрам политики один раз в минуту.

Если поток событий от источника выходит за пределы значений, указанных в политике мониторинга, информация об этом будет зафиксирована следующим образом:

  • Уведомление о срабатывании политики мониторинга будет отправлено на адреса электронной почты, указанные в политике.
  • Будет сформировано информационное событие мониторинга потоков типа 5 (Type=5). Событие имеет поля, описанные в таблице ниже.

    Поля события мониторинга

    Название поля события

    Значение поля

    ID

    Уникальный идентификатор события.

    Timestamp

    Время события.

    Type

    Тип события аудита. Событию аудита соответствует значение 5 (мониторинг).

    Name

    Имя политики мониторинга.

    DeviceProduct

    KUMA

    DeviceCustomString1

    Значение из поля value в уведомлении. Отображает значение метрики, по которой отправлено уведомление.

Сформированное событие мониторинга будет отправлено в следующие ресурсы:

  • все хранилища тенанта Main;
  • все корреляторы тенанта Main;
  • все корреляторы тенанта, в котором находится источник событий.

Управление политиками мониторинга

Чтобы добавить политику мониторинга:

  1. В веб-интерфейсе KUMA в разделе Состояние источниковПолитики мониторинга нажмите Добавить политику и в открывшемся окне укажите параметры:
    1. В поле Название политики введите уникальное имя создаваемой политики. Название должно содержать от 1 до 128 символов в кодировке Unicode.
    2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать политика. От выбора тенанта зависит, для каких источников событий можно будет включить политику мониторинга.
    3. В раскрывающемся списке Тип политики выберите один из следующих вариантов:
      • byCount – по количеству событий за определенный промежуток времени.
      • byEPS – по количеству событий в секунду за определенный промежуток времени. Считается среднее значение за весь промежуток. Можно дополнительно отслеживать скачки в определенные периоды.
    4. В поле Нижний порог и Верхний порог определите, выход за какие границы будет считаться отклонением от нормы, при котором политика мониторинга будет срабатывать, создавая алерт и рассылая уведомления.
    5. В поле Период подсчета укажите, за какой период в политике мониторинга должны учитываться данные из источника мониторинга. Максимальное значение: 14 дней.
    6. Если вы выбрали тип политики byEPS, в поле Регулярность замеров, мин укажите контрольный интервал времени (в минутах), в течение которого проверки должны фиксировать отклонение числа потока событий от нормы для срабатывании политики мониторинга:
      • Если в течение этого времени все проверки (проводимые один раз в минуту) зафиксировали отклонение потока от нормы, сработает политика мониторинга.
      • Если в течение этого времени одна из проверок (проводимых один раз в минуту) зафиксировала, что поток соответствует норме, политика мониторинга не сработает и подсчет результатов проверок начнется заново.

      Если вы не укажете регулярность замеров, политика мониторинга сработает сразу после того, как будет зафиксировано отклонение потока от нормы.

    7. При необходимости укажите электронные адреса, на которые следует отправить уведомления о срабатывании политики мониторинга KUMA. Для добавления каждого адреса необходимо нажимать на кнопку Адрес электронной почты.

      Для рассылки уведомлений необходимо настроить подключение к SMTP-серверу.

  2. Нажмите Добавить.

Политика мониторинга добавлена.

Чтобы применить политику мониторинга:

  1. В веб-консоли KUMA в разделе Состояние источниковИсточники событий выберите в списке один или несколько источников событий, установив рядом с названием источника события флажок. Также вы можете выбрать все источники событий в списке, установив флажок Выбрать все.

    После того как вы выберете в списке источники событий, к которым хотите применить политику мониторинга, на панели инструментов станет доступна кнопка Включить политику при условии, что есть доступные политики.

  2. Нажмите Включить политику.
  3. В открывшемся окне Включение политики выберите нужную политику из раскрывающегося списка. Также вы можете воспользоваться контекстным поиском для выбора политики в раскрывающемся списке. Выбранная политика мониторинга должна принадлежать Общему тенанту или тому же тенанту, что и источник событий. После включения политики статус источника событий становится зеленым, столбцы Политика мониторинга, Поток, Нижний порог и Верхний порог заполняются информацией из назначенной политики.
  4. Нажмите ОК.

Политика мониторинга применена к выбранным источникам событий.

Чтобы удалить политику мониторинга:

  1. В веб-интерфейсе KUMA в разделе Состояние источниковПолитики мониторинга выберите одну или несколько политик мониторинга, которые вы хотите удалить.
  2. Нажмите Удалить политику и подтвердите действие.

Выбранные политики мониторинга будут удалены.

Невозможно удалить предустановленные политики мониторинга, а также политики, назначенные источникам данных.

В начало
[Topic 221775]