Настройка параметров обогащения коллекторов активами

Если обогащение активами осуществляется на каждом коллекторе, в каждый коллектор направляются данные об активах (UUID, IP-адрес, FQDN). Это может существенно затруднить и замедлить обработку данных в коллекторах.

Вы можете настроить параметры обогащения коллекторов данными активов только на тех коллекторах, на которых это необходимо.

Чтобы создать правило обогащения коллектора активами:

1. Перейдите в раздел Ресурсы веб-интерфейса KUMA.

   В правой части раздела Ресурсы отобразится таблица с созданными правилами обогащения.

2. В списке тенантов в левой части окна выберите тенант, которому принадлежит ресурс.
3. Нажмите на кнопку Создать, расположенную над таблицей.
4. В открывшейся боковой панели укажите значения следующих параметров:
   1. В поле Название введите уникальное имя правила. Название должно содержать от 1 до 128 символов в кодировке Unicode.
   2. В раскрывающемся списке Тенант выберите, к какому тенанту относится это правило обогащения.
   3. В раскрывающемся списке Исходный тип выберите обогащение активами.
   4. При необходимости с помощью переключателя Отладка включите логирование операций сервиса.
   5. При необходимости в раскрывающемся списке Теги выберите теги для правила обогащения.
   6. При необходимости в поле Описание добавьте описание правила обогащения. Описание правила может содержать до 4000 символов в кодировке Unicode.
5. В блоке Сопоставление заполните таблицу сопоставления полей следующим образом:
   1. Нажмите на кнопку Добавить.
   2. В раскрывающемся списке Поле KUMA выберите одно или несколько полей события, значение которого будет сопоставляться со значением из хеш-таблицы и записываться в соответствующее поле в таблице для записи данных актива.
   3. В раскрывающемся списке Поле для записи данных выберите поле, в которое, в случае соответствия поля события (Поле KUMA) и значения из хеш-таблицы, будет записано значение идентификатора актива.

   Возможные значения параметров в таблице сопоставления полей

   Ниже представлены возможные значения параметров в таблице сопоставления полей.

   Значения параметров в таблице сопоставления полей

   Поле KUMA	Поле для записи данных
   DestinationAddress DestinationHostName DeviceAddress DeviceHostName SourceAddress SourceHostName DestinationMacAddress DeviceMacAddress SourceMacAddress DeviceCustomString1 DeviceCustomString2 DeviceCustomString3 DeviceCustomString4 DeviceCustomString5 DeviceCustomString6	SourceAssetID DeviceAssetID DestinationAssetID

   Если пользователь выбирает несколько полей, к значениям полей применяется условие И. Если пользователь добавляет несколько строк в столбце Поле KUMA, к значениям полей применяется условие ИЛИ. Проверка начинается с первого поля в списке. Если значение поля совпадает со значением атрибута, проверка прекращается.

   Например, в событие поступают следующие данные:

   SourceAddress=192.168.х.хх
SourceHostName=kuma.example.com.

   В KUMA есть два актива: company.example.com (IP-адрес: 192.168.х.хх, FQDN: company.example.com) и kuma.example.com (IP-адрес: 192.168.y.yyy, FQDN: kuma.example.com). Сопоставление для них осуществляется следующим образом:

   • Если пользователь указал отдельно sourceAddress → sourceAssetID, а затем sourceHostname → sourceAssetID, то актив будет соответствовать первому условию (company.example.com).
   • Если пользователю важнее получить значение параметра sourceHostname (kuma.example.com), то первым указывается sourceHostname → sourceAssetID, а затем sourceAddress → sourceAssetID.
   • Если пользователь указал sourceAddress + sourceHostname → sourceAssetID, обогащение не произойдет.

   В таблице сопоставления полей должно быть указано хотя бы одно условие сопоставления.

   Вы также можете нажать на кнопку Применить сопоставление по умолчанию, расположенную над таблицей. В этом случае будут применены значения параметров Поле KUMA и Поле для записи данных.

   Установленные по умолчанию значения параметров в таблице сопоставления полей

   Ниже представлены значения параметров в таблице сопоставления полей по умолчанию .

   Установленные по умолчанию значения параметров

   Поле KUMA	Поле для записи данных
   DestinationAddress	DestinationAssetID
   DestinationHostName	DestinationAssetID
   DeviceAddress	DeviceAssetID
   DeviceHostName	DeviceAssetID
   SourceAddress	SourceAssetID
   SourceHostName	SourceAssetID

6. В блоке Параметры фильтра можно задать условия определения событий, которые будут обрабатываться с применением правила обогащения. В раскрывающемся списке Фильтр можно выбрать существующий фильтр или создать новый фильтр.

   Добавление условий и группы условий для фильтра

   Чтобы добавить условия и группы условий для фильтра:

   1. При создании правила обогащения убедитесь, что в блоке Параметра фильтра выбрано Конструктор.
   2. Нажмите на кнопку Добавить условие и в последовательно появляющихся раскрывающихся списках выберите значения событий и оператор фильтра.

      Вы можете добавить несколько условий для фильтра.

   3. При необходимости нажмите на кнопку Добавить группу, чтобы добавить группу условий для фильтра.

      Вы можете добавить несколько групп условий.

   4. Нажмите на название логического оператора (И, ИЛИ, НЕ). По умолчанию выбрано значение И.
7. Нажмите Создать.

В начало