Настройка параметров наполнения алертов

Чтобы настроить параметры наполнения алертов:

  1. В веб-интерфейсе KUMA перейдите в раздел ПараметрыДругоеАлерты.
  2. В открывшемся окне Алерты перейдите на вкладку Наполнение алертов и задайте значение следующих параметров:
    1. В раскрывающемся списке Статус выберите значение, при котором алерт будет наполняться событиями. Значение по умолчанию: Новый. В можете выбрать несколько значений. Значение Новый недоступно для удаления из выборки. Доступные значения:
      • Новый – создаваемые корреляционные события продолжают привязываться к алерту только в том случае, если статус алерта Новый.
      • В инциденте – создаваемые корреляционные события продолжают привязываться к алерту только в том случае, если статус алерта В инциденте. Если алерт перешел в статус В инциденте, он может вернуться в статус Новый, если алерт будет отвязан от инцидента. В этом случае алерт больше не будет наполняться событиями.

        Пример: алерт находится в статусе В инциденте. За время пребывания алерта в статусе В инциденте новых событий не поступало. Если отвязать алерт от инцидента, алерт будет пополняться событиями. Если, пока алерт был привязан к инциденту, поступали еще события и был создан новый алерт, будет наполняться последний созданный алерт.

      • Назначен – создаваемые корреляционные события продолжают привязываться к алерту только в том случае, если статус алерта Назначен.
    2. В поле Алерт создан не позднее (часы) укажите время, в течение которого алерт будет наполняться событиями. Значение параметра должно быть целым числом. Отсчет времени осуществляется от момента создания алерта. Значение по умолчанию: 336 часов (2 недели). Минимальное значение: 1 час.

      Если значения указаны для обоих параметров, Статус и Алерт создан не позднее (часы), наполнение алерта событиями прекращается по тому условию, которое было изменено первым. То есть либо заданное время наполнения алерта истекло, либо статус алерта изменился и не соответствует больше значениям, при которых алерт может наполняться. При этом если алерт возвращается повторно в статус, при котором должно происходить наполнение, в таком случае алерт не наполняется. Например, установлено наполнение по статусу Новый. Когда алерт переходит в статус В инциденте, он перестает наполняться. Потом алерт отвязали от инцидента и алерт снова перешел в статус Новый. В таком случае в алерт не добавляются новые события.

    3. В раскрывающемся списке Хранилище событий выберите хранилище, в котором хранятся события алерта. Можно указать только одно хранилище. В списке отображаются ресурсы хранилища, а не запущенные сервисы. Для того чтобы алерты наполнялись событиями, сервис хранилища должен быть запущен.

      Алерты, созданные до указания хранилища в параметрах наполнения, не содержат события. После того, как значение параметра Хранилище событий задано или изменено, существующие алерты не наполняются событиями указанного хранилища. В этом случае создаются новые алерты с событиями указанного хранилища. После выбора хранилища событий, этот параметр может применяется к алертам до двух минут. Алерты созданные до применения этого параметра, могут не содержать события указанного хранилища.

    4. В раскрывающемся списке Отображать в Информации об алерте выберите поле корреляционного события, которое будет отображаться в карточке алерта и в столбце Дополнительная информация в разделе Алерты. Вы можете выбрать одно из следующих значений:
      • DestinationAddress – IPv4 или IPv6-адрес точки назначения (актива), в отношении которой произошло событие.
      • SourceAddress – IPv4 или IPv6-адрес устройства-источника события. Если пользователь вошел в систему с помощью прокси-сервера, будет указан адрес прокси-сервера.
      • DeviceAddress – IPv4 или IPv6-адрес устройства, с которого было получено событие.
      • DestinationAssetName – название актива в точке назначения.
      • SourceAssetName – название актива на источнике события.
      • DeviceAssetName – название актива на устройстве, с которого было получено событие.
      • DestinationHostName – доменное имя точки назначения.
      • SourceHostName – доменное имя источника события.
      • DeviceHostName – имя устройства, с которого было получено событие. FQDN устройства, если доступно.
      • DestinationUserName – имя пользователя точки назначения.
      • SourceUserName –имя пользователя источника.
      • DestinationAccountName – название учетной записи в точке назначения.
      • SourceAccountName – название учетной записи источника события.
      • Message – краткое описание события.
      • DeviceCustomString1, DeviceCustomString2, DeviceCustomString3, DeviceCustomString4, DeviceCustomString5, DeviceCustomString6 – поля для маппинга строкового значения.

      Вы можете выбрать только одно поле. Для некоторых полей автоматически отображается дополнительное связанное поле. Если выбрано поле, которое относится к адресу или имени хоста, дополнительно отображается связанное поле AssetName. Если выбрано поле, связанное с именем пользователя, дополнительно отображается поле AccountName. В этих случаях значения полей объединяются через запятую: сначала выбранное поле, а затем дополнительное.

      Настроенный параметр применяется только к новым алертам.

Параметры наполнения алертов настроены.

В начало