Состояние источников

В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор.

Вы можете настроить автоматическое определение источников событий, используя один из следующих наборов полей:

Применяется только один набор полей для всей инсталляции. При обновлении на новую версию KUMA применяется набор полей по умолчанию. Настраивать набор полей для определения источника событий может только пользователь с ролью Главный администратор. После того как вы сохраните изменения в наборе полей, ранее определенные источники событий будут удалены из веб-интерфейса KUMA и из базы данных. При необходимости вы можете вернуться к использованию набора полей для определения источников событий по умолчанию. Чтобы измененные параметры вступили в силу и KUMA начала определять источники с учетом новых параметров, перезапустите коллекторы.

Чтобы определить источники событий:

  1. В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Состояние источников нажмите кнопку в виде гаечного ключа.
  3. В открывшемся окне Настройки определения источников в раскрывающемся списке Группирующие поля для определения источника выберите поля событий, по которым вы хотите определять источники событий.

    Вы можете указать от 1 до 9 полей в желаемой последовательности. В пользовательской конфигурации KUMA определяет источники, в которых заполнено поле TenantID (отдельно задавать это поле не нужно, определяется автоматически) и хотя бы одно поле из указанных в списке Группирующие поля для определения источника. Для числовых полей 0 является пустым значением. Если для определения источников выбрано одно числовое поле и значение числового поля равно 0, источник не будет определен.

    После того, как вы сохраните измененный набор полей, будет создано событие аудита и все ранее определенные источники будут удалены из веб-интерфейса KUMA и из базы данных, назначенные политики будут отключены.

  4. Если вы хотите вернуться к списку полей для определения источника событий по умолчанию, нажмите Применить сопоставление по умолчанию. Порядок полей по умолчанию не подлежит изменению. Если вы вручную укажете поля в неверном порядке, появится ошибка и кнопка сохранения настроек будет недоступна. Корректная последовательность полей по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Минимальная конфигурация для определения источников событий с использованием набора событий по умолчанию: непустые значения в полях событий DeviceProduct + DeviceAddress и\или DeviceHostName + TenantID (определяется автоматически).
  5. Нажмите Сохранить.
  6. Перезапустите коллекторы, чтобы изменения вступили в силу и источники событий начали определяться по заданному списку полей.

Настройка определения источников выполнена.

Чтобы просмотреть события, которые относятся к источнику событий:

  1. В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Источники событий выберите в списке нужный источник событий и в столбце Название разверните меню для выбранного источника событий, нажмите на кнопку событий за <количество> дней.

    KUMA выполнит переход в раздел События, где вы сможете просмотреть список событий для выбранного источника за последние 5 минут. В запросе автоматически будут указаны значения полей, заданных в параметрах определения источника событий. При необходимости в разделе События можно изменить в запросе временной интервал и нажать Выполнить запрос повторно, чтобы просмотреть выборку за указанный промежуток времени.

Ограничения

  1. В конфигурации с использованием набора полей по умолчанию KUMA регистрирует источник событий при условии, что поля DeviceProduct + DeviceAddress и\или DeviceHostName содержатся в сыром событии.

    Если сырое событие не содержит поля DeviceProduct + DeviceAddress и\или DeviceHostName, вы можете выполнить следующие действия:

    • Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и\или DeviceHostName и нажмите ОК.
    • Использовать правило обогащения: выберите тип источника данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и\или DeviceHostName и нажмите Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.

    KUMA выполнит обогащение и зарегистрирует источник событий.

  2. Если в KUMA поступают события с одинаковыми значениями полей, определяющих источник, KUMA регистрирует разные источники при следующих условиях:
    • Значения обязательных полей совпадают, но для событий определяются разные тенанты.
    • Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
    • Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.

Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.

Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе программы в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.

Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в веб-интерфейсе KUMA в разделе Состояние источников на вкладке Политики мониторинга.

При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.

В этом разделе

Список источников событий
В начало