Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Приложения

Генерация событий для тестирования работы нормализатора
Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Генерация событий для тестирования работы нормализатора

06 сентября 2024

ID 284245

Скачать PDF

При необходимости вы можете самостоятельно сгенерировать примеры событий, чтобы проверить работу написанного нормализатора. Такая проверка упрощает написание регулярных выражений и позволяет увидеть, какие значения попадают в поля событий KUMA.

Стоит принять во внимание следующие особенности:

  • Эта проверка эмулирует обработку события. Указанные примеры события в поле Пример события предназначены для отображения примеров в разделе Сопоставление полей. Из примеров родительского нормализатора формируются примеры дочерних нормализаторов с учетом параметра Поле, которое следует передать в нормализатор.
  • Невозможно применять мутации.

Чтобы протестировать нормализатор, необходимо добавить пример события в поле Пример события в выбранном нормализаторе и запустить генерацию событий с помощью соответствующей команды. В результате выполнения команды KUMA берет пример события из поля Пример события и посылает события в нормализатор с указанным интервалом. При необходимости вы можете указать несколько примеров, чтобы получить события для нескольких примеров.

Чтобы протестировать нормализатор:

  1. Выберите коллектор, на котором вы планируете проводить тестирование:
    • Если коллектор установлен на сервере и запущен, остановите сервис коллектора:

      sudo systemctl stop kuma-collector-<идентификатор сервиса коллектора, скопированный из веб-интерфейса KUMA>.service

    • Если коллектор не запущен или в процессе создания или редактирования, перейдите к следующему шагу.
  2. В мастере создания коллектора при необходимости заполните или отредактируйте обязательные поля на шаге Подключение источников и на шаге Транспорт, а затем перейдите к шагу Парсинг:
    1. Привяжите нормализатор, выбрав его из раскрывающегося списка, или создайте нормализатор.
    2. В поле Примеры событий добавьте примеры событий. Например, для нормализатора типа json вы можете добавить следующее значение: {"name": "test_events", "address": "10.12.12.31"}. Вы можете указать несколько примеров, чтобы в одном нормализаторе получать события по нескольким примерам. События будут генерироваться для каждого примера.
  3. В мастере установки коллектора перейдите к шагу Маршрутизация и укажите хранилище, где будут храниться тестовые события.
  4. Проверьте параметры коллектора и нажмите Сохранить.
  5. Перейдите в раздел KUMA Активные сервисы и добавьте коллектор с помощью кнопки Добавить. В открывшемся окне Выберите сервис выберите коллектор и нажмите Создать сервис. Коллектор отобразится в списке Активные сервисы.
  6. Проверьте статус коллектора, на который поступают события. Статус коллектора должен быть красным.
  7. Выполните команду генерации событий с необходимыми параметрами:
    • Если коллектор не установлен на сервер, а только добавлен в разделе Активные сервисы:

      sudo /opt/kaspersky/kuma/kuma collector --core <FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --generator.interval <значение интервала генерации и отправки событий в секундах> --id <идентификатор сервиса коллектора, скопированный из веб-интерфейса KUMA> --api.port <номер свободного, неиспользуемого порта API>

      Если значение интервала генерации и отправки событий не указано или равно нулю, события не будут генерироваться.

    • Если коллектор установлен на сервере:

      sudo /opt/kaspersky/kuma/kuma collector --generator.interval <значение интервала генерации и отправки событий в секундах> --id <идентификатор сервиса коллектора, скопированный из веб-интерфейса KUMA> --api.port <номер свободного, неиспользуемого порта API>

      Если значение интервала генерации и отправки событий не указано или равно нулю, события не будут генерироваться.

В результате KUMA сгенерирует события и отправит их в нормализатор с учетом указанного интервала.

Вы можете проверить, что события созданы и соответствуют ожиданиям, в разделе События. Дополнительную информацию о проверке вы можете посмотреть в файле /etc/systemd/system/multi-user.target.wants/kuma-collector-<идентификатор сервиса коллектора, скопированный из веб-интерфейса KUMA>.service.

Если полученный результат не соответствует ожиданиям, измените пример события:

  • Если коллектор не установлен на сервер и добавлен только в разделе Активные сервисы, внесите изменения в поле Пример события в нормализаторе коллектора и сохраните параметры коллектора.
  • Если коллектор установлен на сервер и остановлен как сервис, внесите изменения в поле Пример события в нормализаторе коллектора, сохраните параметры коллектора, перейдите в раздел Активные сервисы, выберите коллектор и обновите параметры коллектора, нажав на кнопку Обновить.

Если полученный результат соответствует ожиданиям:

  1. Отключите генерацию событий, например, нажав Ctrl+C в консоли интерпретатора командной строки.
  2. Запустите сервис коллектора, если сервис уже установлен на сервер, но был ранее остановлен:

    sudo systemctl start kuma-collector-<идентификатор сервиса коллектора, скопированный из веб-интерфейса KUMA>.service

  3. Если коллектор только добавлен в раздел Активные сервисы, но еще не установлен на сервер, установите коллектор на сервер с помощью следующей команды:

    sudo /opt/kaspersky/kuma/kuma collector --core <FQDN сервера Ядра KUMA>:<порт, используемый Ядром KUMA для внутренних коммуникаций (по умолчанию используется порт 7210)> --id <идентификатор сервиса коллектора, скопированный из веб-интерфейса KUMA> --api.port <порт, используемый для связи с устанавливаемым компонентом> --install

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!