Kaspersky Symphony XDR: Open Single Management Platform

Список источников событий

Источники событий отображаются в таблице в разделе Состояние источников → Список источников событий. На одной странице отображается до 250 источников. Таблицу можно сортировать, нажав на заголовок столбца нужного параметра и выбрав По возрастанию или По убыванию.

Источники событий можно искать по названию с помощью поля Поиск. Поиск осуществляется с помощью регулярных выражений (RE2). Вы также можете фильтровать таблицу по столбцам Статус или Политика мониторинга, нажав на заголовок необходимого столбца и выбрав значения, которые вы хотите отобразить.

При необходимости вы можете настроить период обновления данных в таблице. Доступные периоды обновления: 1 минута, 5 минут, 15 минут, 30 минут, 1 час. По умолчанию указано значение: Не обновлять. Настройка периода обновления может потребоваться для отслеживания изменений в списке источников.

Просмотр информации об источниках событий

В разделе Состояние источников → Список источников событий доступны следующие столбцы с информацией об источниках событий:

• Статус – статус источника:
  • зеленый – события поступают в пределах назначенных политик мониторинга;
  • красный – частота или количество поступающих событий выходит за границы, определенные хотя бы в одной назначенной политики мониторинга;
  • серый – источнику событий не присвоены политики мониторинга.

  В случае красного статуса генерируется событие типа Monitoring. Событие мониторинга формируется в тенанте, которому принадлежит источник события, и направляется в хранилище тенанта Main (хранилище должно быть предварительно развернуто в тенанте Main). Если у вас есть доступ к тенанту источника событий и нет доступа к тенанту Main, вы все равно можете осуществлять поиск по событиям мониторинга в хранилище тенанта Main, события мониторинга доступных вам тенантов будут отображаться. Также доступна отправка уведомлений по произвольному адресу электронной почты.

  Таблицу можно фильтровать по статусу.

• Название – название источника события. Название формируется автоматически из значений полей, заданных в параметрах определения источника событий.

  Вы можете изменить название источника событий в таблице источников событий, наведя курсор мыши на нужное название и нажав на значок карандаша . Название может содержать не более 128 символов в кодировке Unicode.

• Имя хоста или IP-адрес – название хоста или IP-адрес, откуда поступают события, если в параметрах определения источников событий заданы поля DeviceHostName или DeviceAddress.
• Политика мониторинга – список политик мониторинга, назначенных источнику событий.

  Если вы хотите отфильтровать список источников событий по примененными политикам мониторинга, нажмите на название этого столбца и выберите одну или несколько политик мониторинга. При необходимости вы можете найти нужные политики в списке с помощью поля Поиск.

  Вы можете просмотреть информацию обо всех политиках мониторинга, назначенных источнику событий, нажав на строку необходимого источника. В открывшемся окне отображаются параметры политик мониторинга, а также статус источника по каждой политике. Если источнику назначено несколько политик мониторинга, в случае отображения красного статуса в таблице источников в этом окне вы можете определить, какая из политик сработала. Вы также можете просмотреть, какие политики включены, а какие выключены и когда выключенные политики будут снова включены.

• Поток – частота, с которой из источника поступают события. Если на источник назначены политики мониторинга только типа byCount или политики мониторинга разных типов, отображается как количество событий. Если на источник назначены политики мониторинга только типа byEPS или политики не назначены, отображается как количество событий в секунду.
• Тенант – тенант, к которому относятся события, поступающие из источника.

Управление источниками событий

Вы можете выбрать один или несколько источников событий, установив флажки в первом столбце таблицы. Вы можете выбрать сразу несколько источников событий для выполнения групповых операций, установив флажок в первом столбце в заголовке таблицы и выбрав Выбрать все или Выбрать все на странице. Вариант Выбрать все на странице работает только с отображаемыми в списке источниками событий: если в списке отображаются только 500 из 1500 источников, то групповые действия по выгрузке, включению или отключению политик или удалению будут применены только к выбранным 500 источникам. Если вы хотите выполнить действие со всеми источниками в таблице, выберите Выбрать все.

Если выбрать источники событий, становятся доступны следующие кнопки:

• Включить политику – с помощью этой кнопки для источников событий можно включить политику мониторинга. При применении требуется выбрать политики в открывшемся окне.
• Отключить политику – с помощью этой кнопки для источников событий можно отключить политику мониторинга. При отключении требуется указать, на какой период необходимо отключить политику: временно или навсегда.
• Обновить политику – с помощью этой кнопки можно применить к источникам событий включенные для них политики мониторинга или изменения уже назначенных на них политик мониторинга. При обновлении политики запускается задача в диспетчере задач.

  Эта кнопка становится доступна после того, как вы измените политики мониторинга, назначенные на источники событий.

• Удалить – с помощью этой кнопки источники событий можно удалить из таблицы. Статистика по этому источнику также будет удалена. Если данные из источника продолжают поступать в коллектор, источник событий снова появится в таблице, при этом его прежняя статистика учитываться не будет.

  Если вы хотите удалить все источники событий, но с последнего обновления таблицы прошло некоторое время, добавленные за это время источники могут не отобразится в таблице, но они будут удалены.

  Если вы удаляете более 100 000 источников событий, к которым применен фильтр или поиск, будут удалены только первые 100 000 источников событий. Вы можете снова выбрать все отфильтрованные источники событий и удалить их, а затем повторить это действие, пока не будут удалены все необходимые источники событий. Вы можете удалить более 100 000 источников событий, если к ним не применены фильтр или поиск, выбрав источники с помощью кнопки Выбрать все.

• CSV – с помощью этой кнопки можно выгрузить данные выбранных источников событий в файл CSV.

  Выгрузка поля "Stream" выполняется только если на источник события была назначена политика мониторинга, тогда в выгружаемом файле будет указана единица измерения потока, взятая из политики. Если политика не назначена, пустое поле "Stream" – это ожидаемое поведение.

• Построить диаграмму – с помощью этой кнопки можно построить диаграмму поступления событий за последние семь дней для выбранных источников событий. Вы можете выбрать не более пяти источников событий

  .

Выгрузка данных об источниках событий в файл CSV

Вы можете выгрузить информацию об одном или нескольких источниках событий и примененных к ним политик мониторинга в файл CSV в кодировке UTF-8. Если к источнику применены несколько политик мониторинга, в файле для этого источника каждая политика мониторинга и ее параметры будут записаны на отдельной строке. Для каждой политики мониторинга, примененной к источнику, в файл будут выгружены следующие параметры: Статус, Название, Политика мониторинга, Нижний порог, Верхний порог, Поток, Тенант.

Чтобы выгрузить информацию об источниках событий в файл CSV:

1. В Консоли KUMA в разделе Состояние источников → Список источников событий выберите в таблице один или несколько источников событий, установив флажки в первом столбце напротив нужных источников.

   В левой нижней части таблицы отображается количество выбранных источников и общее количество источников в таблице. Вы можете выбрать не более 150 000 источников событий.

   Вы можете выбрать сразу несколько источников событий в списке, нажав на флажок в первом столбце в заголовке таблицы и выбрав одно из следующих значений:

   • Выбрать все – выбрать все источники событий на всех страницах таблицы. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники, удовлетворяющие условию поиска.
   • Выбрать все на странице – выбрать все источники событий на открытой странице. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники на открытой странице, удовлетворяющие условию поиска.
2. Нажмите на кнопку CSV в верхней части таблицы.

   В зависимости от размера окна вашего браузера кнопка CSV может находиться в дополнительном меню, доступном при нажатии на значок в виде трех точек .

   Новая задача экспорта источников событий будет создана в диспетчере задач.

3. Перейдите в раздел Диспетчер задач и найдите созданную задачу.

   Когда файл будет готов, в строке задачи в столбце Статус отобразится статус Завершено.

4. Нажмите на название типа задачи и в раскрывающемся списке выберите Скачать.

CSV-файл с информацией об источниках будет скачан с использованием параметров вашего браузера. Имя файла по умолчанию event-source-list.csv.

Просмотр динамики поступления событий

Вы можете изучить динамику поступления событий от источника за последние семь дней с учетом примененных политик мониторинга одним из следующих способов:

• просмотреть график для одного источника событий;
• построить диаграмму на основе графиков для нескольких источников (не более пяти).

Просмотреть график для одного источника событий вы можете в Консоли KUMA в разделе Состояние источников → Список источников событий, нажав на значок стрелки в строке нужного источника событий. График поступления событий откроется под строкой источника.

Данные на графике отображаются следующим образом:

• Данные отображаются за те дни, в которые поступали события. Максимальный период – семь дней.

  В левом верхнем углу над графиком вы можете просмотреть количество дней, а в правом верхнем углу – период отображение данных. Вы можете нажать на кнопку События за <количество> дней, чтобы перейти в раздел События и просмотреть список событий для выбранного источника.

• На оси X отображаются дни, на оси Y – частота поступления событий (EPS).
• Линии отражают среднее, максимальное и минимальное количество событий за каждые 15 минут в течение последних семи дней.

  Если вы хотите просмотреть количество событий в конкретное время, наведите курсор мыши на точку на графике. Отобразится всплывающая подсказка со средним, максимальным и минимальным количеством событий в конкретные дату и время.

Вы также можете построить диаграмму поступления событий на основе графиков для нескольких источников событий, например, если вам нужно сравнить активность однотипных источников событий, которые должны вести себя похоже, но фактически ведут себя по-разному.

Чтобы построить диаграмму на основе графиков для нескольких источников событий:

1. В Консоли KUMA в разделе Состояние источников → Список источников событий выберите в таблице один или несколько источников событий, установив флажки в первом столбце напротив нужных источников.

   Вы можете построить диаграмму максимум для 5 источников событий одновременно.

2. Нажмите на кнопку Построить диаграмму в верхней части таблицы.

   В зависимости от размера окна вашего браузера кнопка Построить диаграмму может находиться в дополнительном меню, доступном при нажатии на значок в виде трех точек .

   В открывшейся панели Диаграмма отобразится диаграмма поступления событий для всех выбранных источников, а также таблица, в которой для каждого источника отображается текущее количество событий, максимальное и среднее количество событий, рассчитанные по данным на диаграмме. Вы можете сравнить, как данные для выбранных источников соотносятся друг с другом во времени.

   Данные на диаграмме отображаются следующим образом:

   • Данные отображаются за те дни, в которые поступали события. Максимальный период – семь дней.

     В правом верхнем углу над диаграммой вы можете просмотреть период отображение данных.

   • На оси X отображаются дни, на оси Y – частота поступления событий (EPS).
   • Линии на диаграмме отображают среднее количество поступивших событий для выбранных источников событий за каждые 15 минут в течение последних семи дней.

   Вы можете навести курсор мыши на диаграмму, чтобы просмотреть среднее количество событий для каждого источника в конкретное время.

3. При необходимости снимите флажки в таблице под диаграммой напротив тех источников событий, которые вы хотите скрыть на диаграмме.
4. Если вы хотите отобразить диаграмму более детализированно, нажмите на значок двух стрелок , чтобы открыть панель на весь экран и увеличить масштаб диаграммы.