Создание правила корреляции в корреляторе correlator-ng

Вы можете создать правило корреляции типа periodical только с помощью коррелятора correlator-ng.

При работе с этим коррелятором следует учитывать, что он использует строгую типизацию данных, поддерживает регулярные выражения по стандарту PCRE и автоматически конвертирует существующие правила в новый формат при первом запуске. Ошибки типизации или некорректные выражения могут привести к тому, что правило не запустится.

Скачать справочник по работе с коррелятором correlator-ng

Чтобы создать правило корреляции с типом periodical:

Создайте сервис коррелятора в веб-интерфейсе KUMA.
Запустите correlator-ng:
/opt/kaspersky/kuma/kuma ng correlator --core <URL_Ядра_KUMA> --id <идентификатор_сервиса_коррелятора> --api.port <API-порт_коррелятора> --wd <рабочая_директория_коррелятора>

Чтобы просмотреть список доступных параметров нужно выполнить следующую команду:

/opt/kaspersky/kuma/kuma ng correlator --help

При первом запуске коррелятора в рабочей директории будут автоматически созданы конфигурационные файлы, включая директорию config.
Остановите коррелятор.

Перейдите в директорию config и в файле correlation-rules.yaml укажите параметры правила корреляции, которое нужно создать.

Описание доступных параметров

Пример конфигурации правила корреляции типа periodical

Сохраните изменения в файле.
Запустите correlator-ng повторно:
/opt/kaspersky/kuma/kuma ng correlator --core <URL_Ядра_KUMA> --id <идентификатор_сервиса_коррелятора> --api.port <API-порт_коррелятора> --wd <рабочая_директория_коррелятора>

В начало