Kaspersky Unified Monitoring and Analysis Platform

Архитектура программы

Стандартная установка программы включает следующие компоненты:

  • Ядро, включающее графический интерфейс для мониторинга и управления настройками компонентов системы.
  • Один или несколько коллекторов, которые получают сообщения из источников событий и осуществляют их парсинг, нормализацию и, если требуется, фильтрацию и/или агрегацию.
  • Коррелятор, который анализирует полученные из коллекторов нормализованные события, выполняет необходимые действия с активными листами и создает алерты в соответствии с правилами корреляции.
  • Хранилище, в котором содержатся нормализованные события и зарегистрированные алерты.

События передаются между компонентами по надежным транспортным протоколам (при желании с шифрованием). Вы можете настроить балансировку нагрузки для ее распределения между экземплярами сервисов, а также включить автоматическое переключение на резервный компонент в случае недоступности основного. Если недоступны все компоненты, события сохраняются в буфере жесткого диска и передаются позже. Размер буфера в файловой системе для временного хранения событий можно менять.

kuma-arch

Архитектура KUMA

В этом разделе справки

Ядро

Коллектор

Коррелятор

Хранилище

Основные сущности