Создание маршрутизатора событий

Маршрутизатор событий – это сервис, который позволяет принимать потоки событий от коллекторов и корреляторов и дальше распределять события по заданным точкам назначения в соответствии с настроенными фильтрами.

Чтобы события из коллектора были направлены в маршрутизатор событий, нужно создать ресурс точки назначения eventRouter с адресом маршрутизатора событий и привязать ресурс к тем коллекторам, которые должны отправлять события в маршрутизатор.

Маршрутизатор событий принимает события по API-порту, как и точки назначения типа storage и correlator.

Создать маршрутизатор можно в разделе Ресурсы.

Использование маршрутизатора событий позволяет снизить утилизацию каналов связи, что актуально для каналов с невысокой пропускной способностью и каналов, уже загруженных продуктивным трафиком.

Возможные сценарии использования:

Коллектор – маршрутизатор в дата-центре

Каскадное подключение: несколько коллекторов – маршрутизатор в филиале, маршрутизатор в филиале – маршрутизатор в дата-центре

Маршрутизатор событий доступен для установки только на устройства под управлением Linux. Создавать сервис может только пользователь с ролью Главный администратор. Создавать сервис можно в любом тенанте, привязка к тенанту не накладывает никаких ограничений.

Для получения информации о параметрах работы сервиса доступны следующие метрики:

• IO
• Process
• OS

Как и для прочих ресурсов, для маршрутизатора событий в KUMA создаются следующие события аудита:

• Ресурс успешно добавлен.
• Ресурс успешно обновлен.
• Ресурс успешно удален.

Установка маршрутизатора событий состоит из двух этапов:

• Создание сервиса маршрутизатора событий в веб-интерфейсе KUMA с помощью мастера установки.
• Установка сервиса маршрутизатора событий на сервере.

Запуск мастера установки маршрутизатора событий

Чтобы запустить мастер установки маршрутизатора событий:

1. В веб-интерфейсе KUMA в разделе Ресурсы нажмите Маршрутизаторы событий.
2. В открывшемся окне Маршрутизаторы событий нажмите Добавить.

Следуйте указаниям мастера установки.

Шаг 1. Общие параметры маршрутизатора событий

Это обязательный шаг мастера установки. На этом шаге вы указываете основные параметры маршрутизатора событий: название и тенант, которому он будет принадлежать.

Чтобы задать общие параметры маршрутизатора событий:

1. На вкладке Основные параметры заполните следующие поля:
   1. В поле Название введите уникальное имя создаваемого сервиса. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать маршрутизатор. Принадлежность маршрутизатора событий к тенанту носит организационный характер и не накладывает никаких ограничений.
   3. В поле Обработчики при необходимости укажите количество процессов, которые может одновременно запускать сервис. По умолчанию количество обработчиков соответствует количеству vCPU сервера, на котором установлен сервис.
   4. В поле Описание можно добавить описание сервиса: до 4000 символов в кодировке Unicode.
2. На вкладке Дополнительные параметры заполните следующие поля:
   1. При необходимости с помощью переключателя Отладка включите логирование операций сервиса.
   2. Переключатель Периодическое создание дампа используется по запросу Службы технической поддержки для генерации отчетов по потреблению ресурсов (cpu, ram и т.д.) в виде дампов.
   3. В поле Настройки дампа вы можете указать параметры создания дампа. Порядок заполнения этого поля уточняйте у Службы технической поддержки.

Общие параметры маршрутизатора событий заданы. Перейдите к следующему шагу мастера установки.

Шаг 2. Маршрутизация

Это обязательный шаг мастера установки. Мы рекомендуем отправлять события как минимум в две точки назначения: в коррелятор для анализа и в хранилище для хранения. Также вы можете выбрать другой маршрутизатор событий в качестве точки назначения.

Чтобы задать параметры точки назначения, куда маршрутизатор событий будет направлять события, полученные от коллекторов:

1. В шаге мастера установки Маршрутизация нажмите Добавить.
2. В открывшемся окне Создание точки назначения задайте следующие параметры:
   1. На вкладке Основные параметры в поле Название введите уникальное имя точки назначения. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. С помощью переключателя Состояние вы можете при необходимости включить или выключить сервис.
   3. В раскрывающемся списке Тип выберите тип точки назначения. Доступны следующие значения:
      • storage
      • correlator
      • eventRouter
   4. На вкладке Дополнительные параметры укажите значения для параметров настройки. Набор параметров для настройки зависит от типа точки назначения, выбранного на вкладке Основные параметры. Более подробная информация о параметрах и значениях доступна по ссылке для каждого типа точки назначения в пункте c. этой инструкции.

Созданная точка назначения отображается на вкладке мастера установки. Точку назначения можно удалить из набора ресурсов, выбрав ее и в открывшемся окне нажав Удалить.

Параметры маршрутизации настроены. Вы можете перейти к следующему шагу мастера установки.

Шаг 3. Проверка параметров

Это обязательный и заключительный шаг мастера установки.

Чтобы создание маршрутизатора событий в мастере установки:

1. Нажмите Сохранить и создать сервис.

   В нижней части окна отобразится команда, которая понадобится для установки маршрутизатора на сервере.

   Пример команды:

   /opt/kaspersky/kuma/kuma eventrouter --core https://kuma-example:<порт, используемый для связи с Ядром KUMA> --id <идентификатор сервиса маршрутизатора событий> --api.port <порт, используемый для связи с сервисом> --install

   Порт для связи с Ядром KUMA, идентификатор сервиса и порт для связи с сервисом добавляются в команду автоматически. Следует убедиться в сетевой связности KUMA и при необходимости открыть используемые ее компонентами порты.

2. Закройте мастер, нажав Сохранить.

Сервис установлен в веб-интерфейсе KUMA. Теперь вы можете перейти к установке сервиса в сетевой инфраструктуре KUMA.

Установка маршрутизатора событий на сервере

Чтобы установить маршрутизатор событий на сервере:

1. Войдите на сервер, на котором вы хотите установить сервис маршрутизатора событий.
2. Создайте директорию /opt/kaspersky/kuma/.
3. Поместите в директорию /opt/kaspersky/kuma/ файл kuma, расположенный внутри установщика в директории /kuma-ansible-installer/roles/kuma/files/.
4. Убедитесь, что файл kuma имеет достаточные права для запуска. Если файл не является исполняемым, измените права для запуска с помощью следующей команды:

   sudo chmod +x /opt/kaspersky/kuma/kuma

5. Поместите в директорию /opt/kaspersky/kuma/ файл LICENSE из /kuma-ansible-installer/roles/kuma/files/ и примите лицензию, выполнив следующую команду:

   sudo /opt/kaspersky/kuma/kuma license

6. Создайте пользователя kuma:

   sudo useradd --system kuma && usermod -s /usr/bin/false kuma

7. Выдайте пользователю kuma права на директорию /opt/kaspersky/kuma и все файлы внутри директории:

   sudo chown -R kuma:kuma /opt/kaspersky/kuma/

8. Добавьте порт маршрутизатора событий KUMA в исключения брандмауэра.

   Для правильной работы программы убедитесь, что компоненты KUMA могут взаимодействовать с другими компонентами и программами по сети через протоколы и порты, указанные во время установки компонентов KUMA.

9. Выполните следующую команду:

   sudo /opt/kaspersky/kuma/kuma eventrouter --core https://<FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса, скопированный из веб-интерфейса KUMA> --api.port <порт, используемый для связи с устанавливаемым компонентом> --install

   Пример: 

   sudo /opt/kaspersky/kuma/kuma eventrouter --core https://kuma.example.com:7210 --id XXXX --api.port YYYY --install

Маршрутизатор событий установлен на сервере. С его помощью можно получать события от коллекторов и перенаправлять события в заданные точки назначения.