Отправка тестовых событий в KUMA

В KUMA предусмотрена отправка тестовых событий в систему. Используйте опцию отправки тестовых событий в KUMA, чтобы проверить работу правил, отчётов, панелей мониторинга, а также чтобы проверить потребление ресурсов коллектором при разных потоках событий. События можно отправить только в коллектор, осуществляющий приём по протоколу TCP.

Для отправки тестовых событий вам понадобится:

• Файл kuma, запущенный с определёнными параметрами.

  В инструкции ниже файл с сырыми событиями назван send_test_events.txt в качестве примера. Вы можете использовать собственное название файла.

• Конфигурационный файл, в котором вы определите параметры запуска исполняемого файла.

  В инструкции ниже конфигурационный файл назван config_for_test_events в качестве примера. Вы можете использовать собственное название файла.

Чтобы отправить тестовые события:

1. Получите примеры событий, которые необходимо отправить в KUMA:
   1. В веб-интерфейсе KUMA в разделе События в правом верхнем углу нажмите значок и появившемся окне на вкладке Столбцы полей событий установите флажок для поля Raw. В окне События появится столбец Raw.
   2. Выполните поиск событий.
   3. Экспортируйте результаты поиска: в окне События в правом верхнем углу нажмите и выберите Экспортировать в формат TSV.
   4. Перейдите в раздел KUMA Диспетчер задач и нажмите на задачу Экспорт событий, в появившемся контекстном меню выберите Скачать.

      В разделе Загрузки появится файл <имя файла с экспортированными событиями>.tsv

      Если сбор сырых событий не выполняется, включите сбор на короткое время, выбрав в параметре нормализатора Сохранить исходное событие значение Всегда. После выполнения сбора, верните параметру Сохранить исходное событие прежнее значение.

   5. Создайте текстовый файл send_test_events.txt и скопируйте содержимое поля «Raw» из <имя файла с экспортированными событиями>.tsv в текстовый файл send_test_events.txt.
   6. Сохраните send_test_events.txt.
2. Создайте конфигурационный файл config_for_test_events и добавьте в файл следующие строки:

   {

   "kind": "tcp",

   "name": "-",

   "connection": {

   "name": "-",

   "kind": "tcp",

   "urls": ["<IP коллектора KUMA для приема событий по протоколу TCP>:<порт коллектора KUMA для приема событий по протоколу TCP>"]

   }

   }

   Сохраните конфигурационный файл config_for_test_events.

3. Убедитесь, что между сервером, выполняющим отправку событий и сервером, на котором установлен коллектор, обеспечена сетевая связанность.
4. Чтобы отправить содержимое файла с тестовыми событиями в коллектор KUMA, выполните следующую команду:

   /opt/kaspersky/kuma/kuma tools load --raw --events /home/events/send_test_events.txt --cfg home/events/config_for_test_events --limit 1500 --replay 100000

   Доступные параметры

   Параметр	Описание
   --events	Полный путь к файлу, содержащему "сырые" события. Обязательный параметр. Если полный путь не указан, команда не будет выполнена.
   --cfg	Путь к конфигурационному файлу. Обязательный параметр. Если полный путь не указан, команда не будет выполнена.
   --limit	Поток событий в секунду (EPS), который будет направлен в коллектор. Обязательный параметр. Если значение не указано, команда не будет выполнена.
   --replay	Количество событий, которое требуется отправить. Обязательный параметр. Если значение не указано, команда не будет выполнена.

В результате выполнения команды тестовые события успешно отправлены в коллектор KUMA. Вы можете проверить поступление тестовых событий, выполнив поиск связанных событий в веб-интерфейсе KUMA.

В начало