Добавление головы внимания
Вы можете создать несколько голов внимания и использовать разные головы внимания для разных мониторов одновременно.
Функциональность доступна после добавления лицензионного ключа.
Большое количество голов внимания может привести к снижению производительности процессора событий и замедлению работы основных служб Kaspersky MLAD (прием данных, обнаружение аномалий, работа веб-интерфейса). Для уточнения количества голов внимания рекомендуется проконсультироваться со специалистом "Лаборатории Касперского" или сертифицированным интегратором.
Чтобы добавить голову внимания:
- В основном меню выберите раздел Процессор событий → Мониторинг.
- На открывшейся странице нажмите на кнопку Настройка конфигурации внимания.
Справа отобразится панель Головы внимания.
- Для добавления головы внимания нажмите на кнопку Добавить голову внимания.
Справа отобразится панель Добавление головы внимания.
- В поле Название введите название головы внимания.
- Для использования головы внимания при обработке потока событий установите переключатель Состояние в положение Активна.
- В блоке параметров Предмет внимания выполните следующие действия:
- В раскрывающемся списке Параметр события выберите основной параметр события, по которому требуется регистрировать события и паттерны.
- В раскрывающемся списке Тип внимания выберите одно из следующих значений:
- Внимание. При регистрации событий и паттернов внимание процессора событий будет направлено на выбранный параметр события с учетом выбранного значения.
- Обобщенное внимание. При регистрации событий и паттернов процессор событий обобщит выбранные значения по выбранному параметру события.
При выборе этого типа внимания процессор событий будет регистрировать обобщенные паттерны, при просмотре которых не будет отображаться выбранный параметр события с выбранным значением. Процессор событий будет отслеживать каждое заданное значение параметра события отдельно.
- Выполните одно из следующих действий:
- Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.
При выборе варианта Все значения процессор событий будет отслеживать события и паттерны по каждому конкретному значения параметра события отдельно. Для обеспечения стабильной производительности процессора событий рекомендуется указать конкретные значения предмета события.
- Если требуется включить во внимание конкретные значения параметра события или обобщить эти значения во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
Если вы выбрали Обобщенное внимание в качестве типа внимания, выберите не менее двух значений параметра события.
- Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.
Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.
- Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.
- Если требуется обобщить остальные параметры событий, установите переключатель Обобщение параметров условий в положение Включено.
Если в качестве типа внимания было выбрано обобщенное внимание, то при включенном переключателе процессор событий обобщит остальные параметры событий по всем их значениям. В таком случае процессор событий не зарегистрирует ни одного события или паттерна. Для того, чтобы процессор событий сформировал события или паттерны необходимо задать в блоке параметров Условия хотя бы один параметр события без обобщения по его значениям.
- Если требуется уточнить критерии регистрации паттернов по дополнительным параметрам событий, в блоке параметров Условия выполните следующие действия:
- Нажмите на кнопку Добавить условие.
- В раскрывающемся списке Параметр события выберите дополнительный параметр события, по которому требуется уточнить выборку данных для регистрации событий и паттернов.
- В раскрывающемся списке Тип условия выберите одно из следующих значений:
- Параметр. При регистрации событий и паттернов процессор событий будет учитывать значения выбранного параметра события с учетом выборки данных, полученных для основного параметра события.
- Обобщенный параметр. При регистрации событий и паттернов внимание процессора событий обобщит значения выбранного параметра с учетом выборки данных, полученных для основного параметра события.
При выборе этого типа условия процессор событий будет регистрировать паттерны, при просмотре которых не будет отображаться выбранный параметр события с выбранным значением.
Это значение доступно, если для предмета внимания выбран тип Обобщенное внимание.
- Выполните одно из следующих действий:
- Если требуется включить во внимание новые значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Новые значения.
Элемент Новые значения доступен в следующих случаях:
- В качестве типа условия выбран тип Параметр.
- В качестве типа внимания выбран тип Внимание, переключатель Обобщение параметров условий выключен, а в качестве типа условия выбран тип Обобщенный параметр.
- Если требуется включить во внимание все значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Все значения.
Элемент Все значения доступен в следующих случаях:
- Переключатель Обобщение параметров условий включен, а в качестве типа условия выбран тип Параметр.
- Переключатель Обобщение параметров условий выключен, а в качестве типа условия выбран тип Обобщенный параметр.
- Если требуется включить во внимание конкретные значения параметра события или обобщить эти значения во внимании, в раскрывающемся списке Тип значения выберите Определенные значения и введите нужное значение в поле Значение. Начните вводить нужное значение, чтобы все подходящие значения параметров отобразились в списке.
- Если требуется включить во внимание значения параметра события по шаблону или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Регулярное выражение и введите шаблон значения с помощью регулярного выражения в поле Значение.
Для поиска событий и паттернов с помощью регулярных выражений вы можете использовать специальные символы регулярных выражений.
- Если требуется включить во внимание новые значения параметра события или обобщить их во внимании, в раскрывающемся списке Тип значения выберите Новые значения.
Вы можете задать более одного условия по дополнительным параметрам событий. При необходимости вы можете удалить ранее добавленное условие нажатием на кнопку
напротив строки с нужным условием.Заданные условия будут дополнительно применены к выборке данных, полученных для основного параметра события, заданного в блоке параметров Предмет внимания. Например, если был выбран тип Обобщенное внимание, то при включенном переключателе Обобщение параметров условий процессор событий будет регистрировать паттерны, в составе которых будут отображаться только те параметры событий, которые были заданы в блоке параметров Условия, с учетом их выбранных значений. Если переключатель выключен, то процессор событий будет регистрировать паттерны, в составе которых не будут отображаться обобщенный параметр, заданный в блоке параметров Предмет внимания. При этом будут учитываться значения параметров событий, заданные в блоке параметров Условия.
- Нажмите на кнопку Сохранить.
Информация о новой голове внимания отобразится в таблице в панели Головы внимания. Если требуется, вы можете изменить название головы внимания, а также включить или выключить использование головы внимания при обработке событий.
В начало