Состояние источников
В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор.
Вы можете настроить автоматическое определение источников событий, используя один из следующих наборов полей:
- Пользовательский набор полей. Вы можете указать от 1 до 9 полей в желаемой последовательности.
- Применить сопоставление по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Порядок полей не подлежит изменению.
Определение источников происходит, если следующие поля в событиях содержат непустые значения: DeviceProduct + DeviceAddress и/или DeviceHostname + TenantID (отдельно задавать это поле не нужно, определяется автоматически). Поле DeviceProcessName может содержать пустое значение. Если поле DeviceProcessName содержит непустое значение, и остальные обязательные поля заполнены, будет определен новый источник.
Определение источников событий в зависимости от наличия непустых значений в полях событий
DeviceProduct
DeviceHostName
DeviceAddress
DeviceProcessName
TenantID (определяется автоматически)
+
+
+
Определятся источник 1
+
+
+
Определятся источник 2
+
+
+
+
Определятся источник 3
+
+
+
+
Определятся источник 4
+
+
+
+
Определятся источник 5
+
+
+
+
+
Определятся источник 6
+
+
+
Источник не определяется
+
+
+
Источник не определяется
+
+
+
Источник не определяется
+
+
+
Источник не определяется
Применяется только один набор полей для всей инсталляции. При обновлении на новую версию KUMA применяется набор полей по умолчанию. Настраивать набор полей для определения источника событий может только пользователь с ролью Главный администратор. После того как вы сохраните изменения в наборе полей, ранее определенные источники событий будут удалены из веб-интерфейса KUMA и из базы данных. При необходимости вы можете вернуться к использованию набора полей для определения источников событий по умолчанию. Чтобы измененные параметры вступили в силу и KUMA начала определять источники с учетом новых параметров, перезапустите коллекторы.
Чтобы определить источники событий:
- В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
- В открывшемся окне Состояние источников нажмите кнопку в виде гаечного ключа.
- В открывшемся окне Настройки определения источников в раскрывающемся списке Группирующие поля для определения источника выберите поля событий, по которым вы хотите определять источники событий.
Вы можете указать от 1 до 9 полей в желаемой последовательности. В пользовательской конфигурации KUMA определяет источники, в которых заполнено поле TenantID и хотя бы одно поле из указанных в списке Группирующие поля для определения источника. Для числовых полей 0 является пустым значением. Если для определения источников выбрано одно числовое поле и значение числового поля равно 0, источник не будет определен.
После того, как вы сохраните измененный набор полей, будет создано событие аудита и все ранее определенные источники будут удалены из веб-интерфейса KUMA и из базы данных, назначенные политики будут отключены.
- Если вы хотите вернуться к списку полей для определения источника событий по умолчанию, нажмите Применить сопоставление по умолчанию. Порядок полей по умолчанию не подлежит изменению. Если вы вручную укажете поля в неверном порядке, появится ошибка и кнопка сохранения настроек будет недоступна. Корректная последовательность полей по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Минимальная конфигурация для определения источников событий с использованием набора событий по умолчанию: непустые значения в полях событий DeviceProduct + DeviceAddress и\или DeviceHostName + TenantID (определяется автоматически).
- Нажмите Сохранить.
- Перезапустите коллекторы, чтобы изменения вступили в силу и источники событий начали определяться по заданному списку полей.
Настройка определения источников выполнена.
Чтобы просмотреть события, которые относятся к источнику событий:
- В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
- В открывшемся окне Источники событий выберите в списке нужный источник событий и в столбце Название разверните меню для выбранного источника событий, нажмите на кнопку событий за <количество> дней.
KUMA выполнит переход в раздел События, где вы сможете просмотреть список событий для выбранного источника за последние 5 минут. В запросе автоматически будут указаны значения полей, заданных в параметрах определения источника событий. При необходимости в разделе События можно изменить в запросе временной интервал и нажать Выполнить запрос повторно, чтобы просмотреть выборку за указанный промежуток времени.
Ограничения
- В конфигурации с использованием набора полей по умолчанию KUMA регистрирует источник событий при условии, что поля DeviceProduct + DeviceAddress и\или DeviceHostName содержатся в сыром событии.
Если сырое событие не содержит поля DeviceProduct + DeviceAddress и\или DeviceHostName, вы можете выполнить следующие действия:
- Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и\или DeviceHostName и нажмите ОК.
- Использовать правило обогащения: выберите тип источника данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и\или DeviceHostName и нажмите Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.
KUMA выполнит обогащение и зарегистрирует источник событий.
- Если в KUMA поступают события с одинаковыми значениями обязательных полей DeviceProduct + DeviceHostname + DeviceAddress, KUMA регистрирует разные источники при следующих условиях:
- Значения обязательных полей совпадают, но для событий определяются разные тенанты.
- Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
- Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.
Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.
Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.
Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в веб-интерфейсе KUMA в разделе Состояние источников на вкладке Политики мониторинга.
При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.
