Настройка службы Event Processor

Kaspersky MLAD использует службу Event Processor для выявления паттернов и аномальных последовательностей событий и паттернов. Вы можете настроить параметры службы Event Processor.

В случае перезапуска Kaspersky MLAD повторно задавать параметры службы Event Processor не нужно. Kaspersky MLAD восстанавливает состояние службы Event Processor из базы данных или файла в битовом формате. При значительном объеме обработанных событий и зарегистрированных паттернов процесс восстановления может занимать несколько минут. До момента восстановления состояния службы Event Processor в разделе Процессор событий не будут выполняться запросы и обновляться данные, а также в это время не будут обрабатываться данные, поступающие от CEF-коннектора. Эти данные временно сохраняются в очереди сообщений системы и обрабатываются после восстановления состояния службы Event Processor.

Для работы службы Event Processor может потребоваться большой объем оперативной памяти на сервере, на котором установлен Kaspersky MLAD. Объем используемой оперативной памяти зависит от интенсивности потока событий и объема обрабатываемой истории событий. Также на объем используемой оперативной памяти влияет правильность настройки параметров службы Event Processor.

Работы по настройке службы Event Processor выполняет администратор (сотрудник "Лаборатории Касперского" или сертифицированный интегратор).

Чтобы настроить параметры службы Event Processor:

  1. В меню администратора выберите раздел Системные параметрыEvent Processor.

    Справа отобразится список параметров службы.

  2. В блоке Основной режим выполните следующие действия:
    1. В поле Конфигурационный файл процессора событий добавьте файл, который содержит параметры конфигурации для службы Event Processor.

      Файл конфигурации создается сотрудником "Лаборатории Касперского" или сертифицированным интегратором.

      Если требуется удалить файл конфигурации для службы Event Processor, нажмите на значок Очистить (). Если требуется сохранить файл конфигурации на компьютере, нажмите на значок Загрузить ().

      Изменение файла конфигурации службы Event Processor приводит к полной потере данных службы.

    2. Если требуется обрабатывать инциденты, зарегистрированные службой Anomaly Detector, включите переключатель Обрабатывать инциденты как события.
    3. В поле Максимальное количество слоев сети укажите количество слоев нейросемантической сети, которое будет использоваться.

      По умолчанию количество слоев сети для событийных данных, имеющих в основе определенную структуру, составляет десять слоев. В большинстве случаев нейросемантической сети в основе процессора событий достаточно десяти слоев для иерархического представления данных. Для выявления протяженных по времени паттернов периодических процессов может потребоваться увеличение значения параметра Максимальное количество слоев сети.

    4. В поле Коэффициент, определяющий допустимую дисперсию длительности паттерна укажите коэффициент, с помощью которого будет определяться допустимая дисперсия интервалов между элементами в одном паттерне.

      Если фактическая величина дисперсии меньше либо равна указанной, то выявленные последовательности событий будут относиться к одному паттерну.

    5. В поле Интервал получения событий эпизода (сек.) укажите интервал времени в секундах, за который служба Event Processor формирует эпизод из поступающих на обработку событий.

      Если скорость получения событий составляет около 1000 событий в секунду, то рекомендуется указывать такое значение периода получения новых событий, чтобы за указанный период поступало количество событий, близкое к значению, которое указано в поле Размер эпизода в основном режиме (количество событий). Если скорость получения событий гораздо ниже, то период получения новых событий следует выставлять, исходя из баланса операционной актуальности обработки событий.

    6. В поле Размер эпизода в основном режиме (количество событий) укажите максимальное количество событий в эпизоде для последующей обработки службой Event Processor.

      Если скорость получения событий составляет около 1000 событий в секунду, то в этом поле рекомендуется указывать значение равное 4096.

    7. В раскрывающемся списке Способ сохранения состояния службы Event Processor выберите один из следующих способов сохранения состояния службы Event Processor:
      • Таблица базы данных – Kaspersky MLAD сохраняет результат обработки каждого эпизода в таблице базы данных.
      • Файл в битовом формате – Kaspersky MLAD сохраняет состояние службы Event Processor с частотой, заданной в поле Периодичность создания резервных копий компонента. Программа сохраняет состояние службы в файле, указанном в поле Файл, содержащий резервную копию состояния компонента.

        Сохранение состояния службы Event Processor в файл в битовом формате рекомендуется использовать для отладки и настройки параметров программы сотрудниками "Лаборатории Касперского" в процессе выполнения работ по внедрению Kaspersky MLAD.

      По умолчанию служба Event Processor сохраняет результаты обработки потока событий в таблице базы данных.

      Изменение способа сохранения состояния службы Event Processor приводит к полной потере данных службы.

    8. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Периодичность создания резервных копий компонента укажите период (в днях, часах и минутах), через который будет выполняться резервное копирование службы Event Processor.
    9. Если вы выбрали способ хранения состояния службы Event Processor в файле в битовом формате, в поле Файл, содержащий резервную копию состояния компонента добавьте файл, который содержит резервную копию службы Event Processor.

      Файл будет использован, если понадобится восстановить состояние службы Event Processor. Восстановление состояния службы Event Processor выполняют специалисты "Лаборатории Касперского" в рамках расширенной технической поддержки.

      Если требуется удалить файл, содержащий резервную копию службы Event Processor, нажмите на значок Очистить (). Если требуется сохранить файл, содержащий резервную копию службы, на компьютере, нажмите на значок Загрузить ().

  3. В блоке Режим сна выполните следующие действия:
    1. В поле Размер эпизода в режиме сна (количество событий) укажите количество событий для формирования эпизода в режиме сна.

      Служба Event Processor формирует эпизоды на основе истории событий, поступивших на повторную обработку за интервал времени, заданный в поле Интервал истории событий для обработки в режиме сна.

    2. В поле Отправка оповещений при активации монитора в режиме сна выберите одно из следующих значений:
      • Отправлять оповещения об активации монитора любым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Не отправлять оповещений об активациях монитора – Kaspersky MLAD не отправляет оповещений об активации монитора в режиме сна.
      • Отправлять оповещения об активации монитора новым паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна новых паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
      • Отправлять оповещения об активации монитора ранее зарегистрированным паттерном – Kaspersky MLAD отправляет оповещения об активации монитора при выявлении в режиме сна стабильных паттернов в соответствии с заданными критериями мониторинга. В разделе Процессор событий на вкладке Мониторинг обновится количество активаций монитора.
    3. В поле Периодичность режима сна укажите, как часто (в днях) и в какое время (в формате UTC) служба Event Processor будет переходить в режим сна для повторной обработки событий.

      В качестве времени начала режима сна рекомендуется указать время, когда поток событий наименее интенсивен.

      Если заданное время сна не наступило в текущий день, процессор событий перейдет в режим сна в этот же день. Если время сна уже наступило в текущий день, служба Event Processor перейдет в режим сна в указанное время через заданное количество дней.

    4. В поле Продолжительность режима сна (ЧЧ:ММ) укажите интервал времени (в часах и минутах), в течении которого служба Event Processor будет обрабатывать события в режиме сна.
    5. В поле Интервал истории событий для обработки в режиме сна укажите интервал времени (в днях, часах и минутах), за который требуется передать проанализированные события на повторную обработку службой Event Processor в режиме сна.
  4. Нажмите на кнопку Сохранить.
В начало