Kaspersky Unified Monitoring and Analysis Platform
3.4
Русский
Руководство пользователя  >  Аналитика  >  Работа с событиями  >  Отслеживание маршрута событий

Отслеживание маршрута событий

Чтобы выяснить, от какого подключения поступили события, вы можете использовать параметр Отслеживать маршрут события. Необходимость отслеживать маршрут события может возникать, когда несколько агентов отправляют события в один и тот же коллектор, например в крупной инфраструктуре, где агенты устанавливаются на выделенные серверы WEC и несколько агентов передают события в один и тот же коллектор. Данные о маршруте события могут быть полезны для диагностики проблем с поступлением событий.

Чтобы переключатель Отслеживать маршрут события стал доступен для использования, в агенте следует указать как минимум одну точку назначения с типом internal. Также для отслеживания маршрута событий необходимо, чтобы в коллекторе, который принимает события от агента, был указан коннектор типа internal. После настройки и сохранения агента информация о маршруте агента будет добавлена в поле расширенной схемы событий S.KL_EventRoute.

Поле S.KL_EventRoute появится только для новых событий, которые поступили в коллектор после включения параметра Отслеживать маршрут события. Другие сервисы, через которые проходит событие, включая коллектор, коррелятор (только правила корреляции типа simple), маршрутизатор анализируют поле S.KL_EventRoute, и, если поле не пустое, при обработке события дописывают свои данные в поле.

Если между сервером отправителем и агентом есть прокси, в поле S.KL_EventRoute на агенте указывается адрес прокси, а коллектор добавляет адрес прокси в начальную часть маршрута в поле S.KL.EventRoute.

Коннекторы tcp/udp/http передают по протоколу internal в поле S.KL_EventRoute адрес хоста, который прислал событие. Если между сервером отправителем и агентом был прокси, в поле S.KL_EventRoute будет указан прокси. Агенты WEC, WMI и ETW передает по протоколу internal в поле S.KL_EventRoute имя хоста Windows сервера, на котором установлен агент.

Вы можете включить отслеживание маршрута события одним из следующих способов:

  • Создать новый агент, в нем указать точку назначения типа internal и включить параметр Отслеживать маршрут события.
  • В существующем агенте добавить вкладку с новым подключением и на этой вкладке указать точку назначения internal. После того как вы укажете точку назначения типа internal, параметр Отслеживать маршрут события станет доступен. Переведите переключатель Отслеживать маршрут события в активное положение. После того как вы сохраните параметры агента, перезапустите агент, чтобы применить изменения.
  • Отвязать автоматически созданный агент от коллектора, чтобы агент стал доступен для редактирования параметров, или дублировать автоматически созданный агент и продолжить настройку параметров в дубликате агента. После того как вы укажете точку назначения типа internal в доступном для редактирования агенте, параметр Отслеживать маршрут события станет доступен. Переведите переключатель Отслеживать маршрут события в активное положение. После того как вы сохраните параметры агента, перезапустите агент, чтобы применить изменения.

В карточке события, в карточке алерта и карточке корреляционного события появится раздел Журнал отслеживания событий. В этом разделе отображается информация из поля S.KL_EventRoute в обработанном виде. Идентификаторы сервисов преобразованы в имена сервисов в виде ссылки. Если вы нажмете на имя сервиса, в браузере откроется новая вкладка с карточкой сервиса. Если вы измените название сервиса, имя сервиса также поменяется при отображении в карточке события, причем как для новых событий, так и для уже полученных и обработанных событий. Если вы удалите сервис в разделе Активные сервисы, в карточках событий в разделе Журнал отслеживания событий вместо гиперссылки будет отображаться Удален. Остальные данные о маршруте не будут удалены и будут по-прежнему отображаться: тип коннектора, FQDN, значение поля SourceAddress. Чтобы просмотреть данные о маршруте в сыром виде, вы можете добавить в таблице событий столбец S.KL_EventRoute.

Использование информации о маршруте

Вы можете использовать функцию Extract from JSON или другие функции ClickHouse, чтобы получить нужные части маршрута для отладки. Подробнее о функциях см. в документации ClickHouse по ссылке: https://clickhouse.com/docs/ru/sql-reference/functions/json-functions#jsonextractstringjson-indices-or-keys

В таблице ниже приведены примеры запросов.

Пример запроса

Описание

SELECT *, simpleJSONExtractRaw(S.KL_EventRoute, 'version') as version FROM `events` Where Type !=4 ORDER BY Timestamp DESC LIMIT 25

В результате этого запроса отобразятся события, для которых в столбце version отображается версия коллектора.

SELECT *, simpleJSONExtractRaw(S.KL_EventRoute, 'connectorKind') as connectorKind FROM `events` Where Type !=4 ORDER BY Timestamp DESC LIMIT 250

В результате этого запроса отобразятся события, для которых в столбце connectorKind отображается тип коннектора.

SELECT *, simpleJSONExtractRaw(S.KL_EventRoute, 'connectorKind') as connectorKind FROM `events` Where Type !=4 and simpleJSONExtractRaw(S.KL_EventRoute, 'connectorKind') != '"wec"' ORDER BY Timestamp DESC LIMIT 250

В результате этого запроса отобразятся события, полученные от коннекторов с типом, отличным от "wec".

Если вам нужна выборка по другому значению из поля S.KL_EventRoute, вы можете посмотреть наименование необходимого параметра в таблице событий в столбце Raw, чтобы использовать его в запросе.

Идентификатор статьи: 292279, Последнее изменение: 25 апр. 2025 г.
В начало