Настройка получения событий CommuniGate Pro
Вы можете настроить получение событий системы CommuniGate Pro 6.1 в KUMA. Интеграция возможна только при отправке событий по syslog с использованием протокола TCP. Ресурсы, описанные в этой статье, доступны для KUMA 3.0 и более новых версий. Поддерживается обработка событий модуля SIP (события содержат последовательность символов "SIPDATA").
Настройка получения событий состоит из следующих этапов:
- Настройка CommuniGate Pro для отправки событий.
- Настройка коллектора KUMA для получения событий CommuniGate Pro.
- Проверка поступления событий CommuniGate Pro в коллектор KUMA.
Вы можете проверить, что настройка сервера источника событий CommuniGate Pro выполнена правильно в разделе веб-интерфейса KUMA Поиск связанных событий.
Система CommuniGate Pro формирует событие аудита в виде нескольких отдельных записей, которые выглядят следующим образом:
<код события> временная отметка идентификатор направление: информация из базового события 1
<код события> временная отметка идентификатор направление: информация из базового события 2
<код события> временная отметка идентификатор направление: основная информация n
Для обработки событий системы CommuniGate Pro используется набор ресурсов KUMA, который необходимо применить при создании коллектора:
- Нормализатор.
- Правило агрегации.
- Фильтры для точек назначения.
В процессе работы коллектора многострочные базовые события будут агрегированы на основе идентификатора событий, нормализованы, и одно событие будет направлено в хранилище и коррелятор.
Агрегированное событие примет следующий вид:
Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n
После агрегации полученное событие будет направлено в этот же коллектор, где будет выполняться нормализация агрегированного события.
Алгоритм обработки события системы CommuniGate Pro
Для обработки события системы CommuniGate Pro был реализован следующий алгоритм:
- Первичная нормализация.
На этом этапе выполняется первичная нормализация базовых событий. Первым символом в базовом событии является число. События приводятся к формату, пригодному для последующей агрегации: из события выделяется первый символ и размещается в поле DeviceCustomString1, идентификатор размещается в поле ExternalID, имя хоста размещается в поле DeviceHostName. Базовая нормализация выполняется в основном нормализаторе.
- Проверка на агрегацию.
Выполняется проверка, является ли событие агрегированным. В результате проверки к неагрегированным событиям (первый символ события является числом) применяется правило агрегации, а затемагрегированные события направляются на повторную нормализацию. Агрегация выполняется с помощью правила «[OOTB] CommuniGate Pro. Aggregation rule».
- Применение правила агрегации.
На этом этапе к событиям применяется правило агрегации, базовые события "склеиваются" и принимают следующий вид:
Служебная информация из правила агрегации: идентификатор: информация из базового события 1, информация из базового события 2, информация из базового события n.
После выполнения агрегации "склеенное" событие направляется обратно в этот же коллектор для выполнения нормализации агрегированного события.
Чтобы замкнуть цикл обработки события, следует указать тот же самый коллектор в качестве точки назначения. На схеме точка назначения названа "Loop", чтобы обозначить цикл обработки события. Вы можете назвать точку назначения произвольным именем.
- Нормализация агрегированного события.
Нормализация агрегированного события. начинающегося с символа "{", выполняется в экстранормализаторах Aggregated events, Aggregated events - kv part.
- Отправка в хранилище и коррелятор.
Агрегированные и нормализованные события отправляются в хранилище и коррелятор.
На следующем рисунке представлена схема обработки событий от системы CommuniGate Pro.
