Содержание

Приложения

Приложения

Этот раздел содержит информацию, которая дополняет основной текст документа.

В этом разделе справки

Параметры конфигурационного файла .env

Пример JSON-файла, содержащего конфигурацию тегов

Пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor

Просмотр журнала логирования Kaspersky MLAD

Специальные символы регулярных выражений

В начало

Параметры конфигурационного файла .env

Изменение параметров конфигурационного файла выполняет только сотрудник "Лаборатории Касперского" или сертифицированный интегратор.

Конфигурационный файл .env заполняется для настройки коннектора CEF Connector и содержит параметры, приведенные в таблице ниже.

Параметры конфигурационного файла .env

Параметр	Описание
CEF_CONNECTOR_INCOMING_IP	IP-адрес, по которому будет осуществляться подключение коннектора CEF Connector к внешнему источнику событий.
CEF_INCOMING_PORT	Номер порта, по которому будет осуществляться подключение коннектора CEF Connector к внешнему источнику событий.

Для применения изменений, внесенных в конфигурационный файл, требуется перезапустить Kaspersky MLAD.

В начало

Пример JSON-файла, содержащего конфигурацию тегов

Ниже приведен пример файла в формате JSON, который содержит описания тегов, их конфигурацию, а также пресеты.

Пользователь с правами администратора загружает конфигурацию тегов в разделе Настройка → Теги. В Kaspersky MLAD также будет загружена конфигурация пресетов, описанных в JSON-файле. Пользователь с правами оператора может загрузить только конфигурацию пресетов.

{

"tags": {

"1": {

"id": 1,

"name": "Sep_level_setpoint",

"description": "Уставка уровня сепаратора",

"tag_type": "",

"measurement_units": "%",

"plc_id": "TEP",

"real_type": "line",

"predicted_type": "spline",

"max": null,

"min": null,

"high_limit": null,

"low_limit": null,

"cls": "level",

"type": "SV",

"position": [],

"icon": null,

"expressions": null,

"is_virtual": false,

"bias": 0,

"multiplier": 1,

"threshold_lines": null

},

...

"121": {

"id": 121,

"name": "Нет отклика температуры реактора",

"description": "Rule",

"tag_type": "13",

"measurement_units": "",

"plc_id": "",

"real_type": "line",

"predicted_type": "spline",

"max": null,

"min": null,

"high_limit": null,

"low_limit": null,

"cls": "level",

"type": "PV",

"position": [],

"icon": null,

"expressions": null,

"is_virtual": false,

"bias": 0,

"multiplier": 1,

"threshold_lines": null

}

},

"tags_structure": [

{

"directory_id": "root",

"name": "Root",

"description": null,

"children": [

"tags",

"trash_bin"

],

"icon": null

},

...

{

"directory_id": "tags",

"name": "Химический завод",

"description": null,

"children": [

"Reactor",

"Separator",

"Stripper",

"Product",

"Purge",

"Cooler",

"a5eeb30739a742d3955765608ff73229"

],

"icon": null

}

],

"presets": [

{

"name": "Продукт",

"tag_list": [

51,

52,

53,

49,

50

],

"evaluations": {

"axis_x_name": "",

"evaluations": []

},

"css_class": null,

"icon": "logout-signout"

},

...

{

"name": "Охладитель",

"tag_list": [

64

],

"evaluations": {

"axis_x_name": "",

"evaluations": []

},

"css_class": null,

"icon": "graph"

}

],

"version": 2

}

В начало

Пример JSON-файла, содержащего конфигурацию параметров для службы Event Processor

Ниже приведен пример файла в формате JSON, который содержит конфигурацию параметров для службы Event Processor. Файл содержит описание параметров событий для процессора событий.

Конфигурационный файл создается сотрудником "Лаборатории Касперского" или сертифицированным интегратором. Пользователь с правами администратора загружает конфигурационный файл процессора событий при настройке параметров службы Event Processor.

{

"timestamp_field": "TimeStamp",

"timestamp_scale": "ms",

"fields": [

"User_Host",

"User_Name",

"Destination_Host",

"Access_Result"

],

"groupBy": [

"User_Host",

"User_Name",

"Destination_Host",

"Access_Result"

],

"nodes": [

{

"name": "User_Name",

"depth": 0,

"tooltip": {

"templates": [

"User: {{User_Name}}"

]

}

},

{

"name": "User_Host",

"depth": 1,

"tooltip": {

"templates": [

"User host: {{User_Host}}"

]

}

},

{

"name": "Destination_Host",

"depth": 2,

"tooltip": {

"templates": [

"Destination: {{Destination_Host}}"

]

}

],

"links": [

{

"source": "User_Name",

"target": "User_Host",

"value": "count",

"tooltip": {

"templates": [

"{{User_Name}} » {{User_Host}}",

"Count: {{count}}"

]

},

"isGraphGroup": true

}, {

"source": "User_Host",

"target": "Destination_Host",

"value": "count",

"tooltip": {

"templates": [

"{{User_Host}} » {{Destination_Host}}",

"DeviceEventClassID: {{Access_Result}}",

"Count: {{count}}"

]

}

]

}

В начало

Просмотр журнала логирования Kaspersky MLAD

В журнале логирования Kaspersky MLAD хранятся записи только за последние 48 часов.

Именование служб Kaspersky MLAD в подсистеме логирования

Для обозначения служб Kaspersky MLAD, состояние которых отслеживается в подсистеме логирования, используются наименования соответствующих им контейнеров или образов в Docker. В качестве имени образа в большинстве случаев используется сокращенное название службы. Имя контейнера формируется по следующему шаблону:

<директория программы>-<название образа>-#,

где: # – номер контейнера Docker.

По умолчанию Kaspersky MLAD использует директорию mlad-release-3.0.0-<номер установочной сборки>.

Ниже приведена таблица соответствия служб Kaspersky MLAD и имен образов и контейнеров Docker.

Соответствие служб Kaspersky MLAD и имен образов и контейнеров Docker

Служба Kaspersky MLAD	Имя образа	Имя контейнера
Anomaly Detector	anomaly_detector	mlad-release-3.0.0-<номер установочной сборки>-anomaly_detector-1
Time Series Database	influxdb	mlad-release-3.0.0-<номер установочной сборки>-influxdb-1
Message Broker	kafka	mlad-release-3.0.0-<номер установочной сборки>-kafka-1
Keeper	keeper	mlad-release-3.0.0-<номер установочной сборки>-keeper-1
Logger	logger	mlad-release-3.0.0-<номер установочной сборки>-logger-1
Database	postgres	mlad-release-3.0.0-<номер установочной сборки>-postgres-1
Similar Anomaly	similar_anomaly	mlad-release-3.0.0-<номер установочной сборки>-similar_anomaly-1
Event Processor	event-processor	mlad-release-3.0.0-<номер установочной сборки>-event-processor-1
Stream Processor	stream-processor	mlad-release-3.0.0-<номер установочной сборки>-stream-processor-1
Trainer	trainer	mlad-release-3.0.0-<номер установочной сборки>-trainer-1
Web Server	nginx-ui	mlad-release-3.0.0-<номер установочной сборки>-nginx-ui-1
API Server	web-server	mlad-release-3.0.0-<номер установочной сборки>-web-server-1
Mail Notifier	postman	mlad-release-3.0.0-<номер установочной сборки>-postman-1
OPC UA Connector	opcua-connector	mlad-release-3.0.0-<номер установочной сборки>-opcua-connector-1
MQTT Connector	mqtt-connector	mlad-release-3.0.0-<номер установочной сборки>-mqtt-connector-1
AMQP Connector	amqp-connector	mlad-release-3.0.0-<номер установочной сборки>-amqp-connector-1
HTTP Connector	gate	mlad-release-3.0.0-<номер установочной сборки>-gate-1
KICS Connector	kics3-connector	mlad-release-3.0.0-<номер установочной сборки>-kics3-connector-1
CEF Connector	cef-connector	mlad-release-3.0.0-<номер установочной сборки>-cef-connector-1
WebSocket Connector	ws-connector	mlad-release-3.0.0-<номер установочной сборки>-ws-connector-1
	webstatic	mlad-release-3.0.0-<номер установочной сборки>-webstatic-1
	migrations	mlad-release-3.0.0-<номер установочной сборки>-migrations-1

В начало

Сценарий: Оценка основных метрик Kaspersky MLAD

Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.

При первом подключении к подсистеме логирования требуется изменить пароль, установленный по умолчанию.

В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и общего состояния Kaspersky MLAD.

Сценарий оценки работоспособности и общего состояния Kaspersky MLAD состоит из следующих этапов:

Переход в подсистему логирования
Перейдите в меню пользователя в раздел Логирование. Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.

Доступно только для пользователей Kaspersky MLAD с ролью администратора.
Анализ основных метрик Kaspersky MLAD
В разделе Summary docker metrics проанализируйте графики основных метрик Kaspersky MLAD за выбранный период.

Для каждого контейнера служб Kaspersky MLAD отображаются следующие метрики:
- CPU usage – история загрузки центрального процессора контейнером. Изменяется в процентах.
- RAM usage – история использования контейнером оперативной памяти. Изменяется в байтах.
- Disk usage – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Изменяется в байтах.
- Network usage – история задействования контейнером сетевых ресурсов. Изменяется в байтах в секунду.

В начало

Сценарий: Просмотр метрик и логов контейнера

Перед началом работы с подсистемой логирования рекомендуется ознакомиться с руководством пользователя системы Grafana.

В журнале логирования Kaspersky MLAD хранятся записи только за последние 48 часов.

В этом подразделе приводится последовательность действий, которые требуется выполнить для оценки работоспособности и просмотра логов определенного контейнера из комплекта поставки Kaspersky MLAD.

Сценарий оценки работоспособности и просмотра логов определенного контейнера состоит из следующих этапов:

Переход в подсистему логирования
Перейдите в меню пользователя в подраздел Логирование. Откроется интерфейс Grafana, в котором требуется указать логин и пароль пользователя Kaspersky MLAD.

Доступно только для пользователей Kaspersky MLAD с ролью администратора.
Переход в раздел с метриками и логами контейнера
Перейдите в раздел Service detailed monitoring и выберите нужный контейнер из раскрывающегося списка Container.
Анализ метрик контейнера
Проанализируйте графики метрик Kaspersky MLAD для выбранного контейнера за необходимый период, которые отображаются в разделе Service detailed monitoring.

В разделе Service detailed monitoring представлены следующие метрики:
- Memory – история использования контейнером оперативной памяти. Изменяется в байтах.
- CPU – история загрузки центрального процессора контейнером. Изменяется в процентах.
- File system – история нагрузки контейнера на дисковую подсистему (операции записи и чтения). Изменяется в байтах.
- Network – история задействования контейнером сетевых ресурсов. Изменяется в байтах в секунду.
Анализ логов контейнера
Проанализируйте записи логов контейнера за выбранный период, которые отображаются под информационной панелью с метриками. Вы можете выполнить поиск по записям логов контейнера. Для этого введите поисковый запрос в поле Log search и нажмите на клавишу ENTER. Для сброса результатов поиска очистите поле Log search и нажмите на клавишу ENTER.
Экспорт логов контейнера
Для выгрузки в текстовый файл логов контейнера за выбранный период, в разделе Service detailed monitoring в раскрывающемся списке Service log выберите значение Inspect → Data и в открывшейся форме нажмите на кнопку Download CSV.

В начало

Специальные символы регулярных выражений

Для поиска событий, паттернов и значений параметров событий в разделе Процессор событий вы можете использовать регулярные выражения. Kaspersky MLAD поддерживает использование следующих специальных символов в регулярных выражений:

^ – Соответствует началу значения параметра. Например, ^А означает, что поиск в параметре события будет осуществляться по значениям, начинающимся с символа А.
$ – Соответствует концу значения параметра. Например, А$ означает, что поиск в параметре события будет осуществляться по значениям, заканчивающимся на символ А.
. – Соответствует одному любому символу.
| – Разделяет допустимые варианты символов или совокупности символов в значении параметра. Например, к(о|и)т соответствует как значению параметра кот, так и кит.
\ – Символ, указывающий на то, что следующий символ является обычным символом в значении параметра, а не специальным. Вы можете использовать символ \ для поиска специальных символов в значении параметра. Например, \. описывает точку в значении параметра, а \\ описывает обратную косую черту.
[] – Соответствует любому символу из набора допустимых символов. Например, [абв] соответствует появлению одного из трех указанных символов.
Для поиска по диапазону значений вы можете использовать символ -. Если требуется найти символы, которые не входят в указанный диапазон, вы можете использовать символ ^ внутри квадратных скобок. Например, [^0-9] задает возможность появления любого символа, кроме цифр.

Для указания нужного количества повторений выражения в значениях параметров событий вы можете использовать следующие специальные символы:

? – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или один раз.
* – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или более раз.
+ – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра один или более раз.
{} – Символьный класс, позволяющий указать нужное количество повторений предшествующего выражения. Вы можете указать количество повторений одним из следующих способов:
- {n} – Выражение, предшествующее фигурным скобкам, встречает в значении параметра ровно n раз.
- {m,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра от m до n раз включительно.
- {m,} – Выражение. предшествующее фигурным скобкам, встречается в значении параметра не менее m раз.
- {,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра не более n раз.

Вы также можете использовать скобки () для объединения элементов выражения в группу. Например, (к[ои]т){2} найдет вхождения коткот, киткит, киткот и коткит.

В начало