В разделе Процессор событий → Мониторинг вы можете управлять мониторами для отслеживания определенных событий, паттернов или значений параметров событий, а также обобщенных событий или паттернов. Вы можете просматривать краткую статистику количества зарегистрированных активаций по каждому созданному монитору в виде гистограммы.
Работа с мониторами осуществляется на вкладке Мониторы. Вы можете перейти на вкладку нажатием на кнопку в правом верхнем углу раздела.
На вкладке отображаются все созданные в программе мониторы со следующей краткой информацией:
Название монитора.
Количество активаций монитора на скользящем окне.
Тип подписки монитора. Для каждого монитора могут отображаться следующие значения:
Значения параметров. Монитор отслеживает появление определенных значений параметров событий.
События. Монитор отслеживает появление определенных событий.
Паттерны. Монитор отслеживает появление закономерностей в поведении объекта мониторинга.
Уникальные обобщенные. Монитор отслеживает появление уникальных обобщенных событий или паттернов.
Похожие обобщенные. Монитор отслеживает появление похожих обобщенных событий или паттернов.
Порог активации – количество активаций монитора на скользящем окне, при достижении которого программа отправляет оповещение об активации монитора во внешнюю систему.
Период – скользящее окно, за время которого ведется учет количества активаций монитора.
Состояние – параметр, определяющий состояние монитора.
ID монитора – идентификатор просматриваемого монитора.
Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
Дата и время последней активации – дата и время, когда монитор в последний раз был активирован.
Размер списка активаций – параметр, величина которого определяет количество последних активаций монитора, отображаемых в таблице Список активаций.
Тип подписки – параметр, определяющий что отслеживает просматриваемый монитор: значения параметров событий, события или паттерны.
Скользящее окно – параметр, определяющий интервал времени от текущего момента времени назад по временной последовательности, в течение которого ведется учет количества активаций. Окно сдвигается синхронно течению времени по временным меткам в событиях.
Порог активации – количество активаций, которое должен зарегистрировать монитор на скользящем окне, прежде чем отправить во внешнюю систему оповещение об активации монитора с помощью коннектора CEF Connector.
Голова внимания – голова внимания, на которой сфокусировано внимание процессора событий. Этот параметр отображается только при активации монитора паттерном, уникальным или похожим обобщенным событием или паттерном.
Параметр предмета внимания – параметр предмета внимания, на котором сфокусировано внимание процессора событий. Этот параметр отображается только при активации монитора паттерном, уникальным или похожим обобщенным событием или паттерном.
Подписка на события – параметр, определяющий, отслеживает ли монитор обобщенные события. Этот параметр отображается только при активации монитор уникальным или похожим обобщенным событием или паттерном.
Подписка на паттерны – параметр, определяющий, отслеживает ли монитор обобщенные паттерны. Этот параметр отображается только при активации монитор уникальным или похожим обобщенным событием или паттерном.
Тип активации – параметр, определяющий, отслеживает ли монитор новые значения параметров событий, события и паттерны. Этот параметр отображается только при активации монитора значением параметра событий, событием или паттерном.
Фильтры – таблица, содержащая информацию о фильтрах для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны. Для каждого элемента отображаются следующие данные:
Имя параметра – имя параметра события, за значениями которого наблюдает просматриваемый монитор.
Для каждого объекта мониторинга поступающие события и их параметры индивидуальны. Имена параметров событий определяются в конфигурационном файле для службы Event Processor. Работы по созданию и загрузке файла конфигурации выполняет квалифицированный технический специалист Заказчика, сотрудник "Лаборатории Касперского" или сертифицированный интегратор на этапе настройки службы Event Processor.
Тип фильтра – параметр, определяющий тип фильтра для параметров событий, по которым текущий монитор отслеживает значения параметров событий, события и паттерны.
Тип значения – параметр, определяющий какие типы значений отслеживает просматриваемый монитор: значения по шаблону, определенные, новые или все значения.
Значения – значения параметра события, за которыми наблюдает просматриваемый монитор.
Эта таблица отображается только при активации монитора значением параметра события, событием или паттерном.
Список активаций – таблица, содержащая информацию о последних активациях монитора:
ID значения параметра – идентификатор значения параметра события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора значением параметра события.
ID события – идентификатор события, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора событием.
ID паттерна – идентификатор паттерна, обнаружение которого привело к активации монитора. Этот параметр отображается только при активации монитора паттерном.
Системные параметры – блок системных параметров, который содержит следующую информацию:
Дата и время события – дата и время обнаружения события в потоке событий.
Интервал от предыдущего элемента – временной интервал между текущим событием и предыдущим событием в потоке событий на скользящем окне. Kaspersky MLAD отображает временные интервалы между событиями при первом обнаружении паттерна, в состав которого входят события. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между этими событиями.
Общее количество активаций – количество повторений события в потоке событий на скользящем окне.
Количество параметров – количество параметров события, для которых поступили значения от объекта мониторинга.
Последняя активация – дата и время последнего обнаружения события в потоке событий на скользящем окне.
Этот блок параметров отображается только при активации монитора событием или значением параметра события.
Предмет внимания – параметр предмета внимания и его значение, обнаружение которого вызвало активацию монитора. Этот параметр отображается только при активации монитора паттерном.
Дата и время активации – дата и время активации монитора. Этот параметр отображается только при активации монитора паттерном.
Параметр события – значение параметра события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора значением параметра события.
Параметры события – значения параметров события, поступившего от объекта мониторинга. Этот параметр отображается только при активации монитора событием.
Количество событий – количество событий, входящих в состав паттерна, который вызвал активацию монитора. Этот параметр отображается только при активации монитора паттерном.
Общее количество активаций – количество повторений паттерна в потоке событий на скользящем окне. Этот параметр отображается только при активации монитора паттерном.
Статистика по обобщенным событиям – таблица, содержащая информацию об обобщенных событиях:
ID события – идентификатор обобщенного события.
Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
Количество предметов внимания – количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора.
Событие – обнаруженное обобщенное событие.
Предметы внимания – значения параметра предмета внимания, обнаружение которых вызвало активацию монитора.
Эта таблица отображается только при активации монитора похожими обобщенными событиями.
Статистика по обобщенным паттернам – таблица, содержащая информацию об обобщенных паттернах:
ID паттерна – идентификатор обобщенного паттерна.
Количество активаций – количество зарегистрированных активаций монитора на скользящем окне.
Количество событий – количество событий в составе обобщенного паттерна.
Количество предметов внимания – количество значений параметра предмета внимания, обнаружение которых вызвало активацию монитора.
Длительность паттерна – временной интервал между первым и последним событием в обнаруженном паттерне. При повторном обнаружении паттерна процессор событий учитывает указанный администратором коэффициент допустимой дисперсии интервалов между событиями паттерна.
Паттерн – обнаруженный обобщенный паттерн.
Предметы внимания – значения параметра предмета внимания, обнаружение которых вызвало активацию монитора.
Эта таблица отображается только при активации монитора похожими обобщенными паттернами.
Просмотр гистограммы с краткой статистикой количества активаций осуществляется на вкладке Гистограмма в правом верхнем углу раздела.
в правом верхнем углу раздела.