Важно отслеживать, какому тенанту принадлежат создаваемые в KUMA объекты: от этого зависит, кто к ним будет иметь доступ и взаимодействие с какими объектами можно настроить. Правила определения тенанта:
Тенант объекта (например, сервиса или ресурса) определяется пользователем при его создании.
Тенант алерта и корреляционного события наследуется от создавшего их коррелятора.
Название тенанта указывается в поле событияTenantId.
Если события разных тенантов, обрабатываемых одним коррелятором, не смешиваются, создаваемые коррелятором корреляционные события наследуют тенант события.
Тенант инцидента наследуется от алерта.
Примеры мультитенантных взаимодействий
Мультитенантность в KUMA дает возможность централизованно расследовать алерты и инциденты, возникающие в разных тенантах. Ниже приведены сценарии, по которым можно проследить, к каким тенантам принадлежат создаваемые объекты.
При корреляции событий от разных тенантов в общем потоке не следует группировать события по тенанту: то есть не нужно в правилах корреляции в поле Группирующие поля указывать поле события TenantId. Группировка событий по тенанту необходима, только если нужно не смешивать события от разных тенантов.
Сервисы, которые должны быть размещены на мощностях главного тенанта, разворачиваются только пользователями с ролью главный администратор.
Коллектор развернут на тенанте 2 и принадлежат ему (tenantID=2).
Коррелятор развернут на стороне главного тенанта.
Принадлежность коррелятора определяется главным администратором в зависимости того, кто будет расследовать инциденты тенанта 2: сотрудники главного тенанта или тенанта 2. Принадлежность алерта и инцидента зависит от принадлежности коррелятора.
Сценарий 1. Коррелятор принадлежит тенанту 2 (tenantID=2):
Коллектор тенанта 2 получает и отправляет события в коррелятор.
При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=2.
Коррелятор отправляет корреляционные события в раздел хранилища тенанта 2.
Создается алерт, привязанный к тенанту с идентификатором tenantID=2.
К алерту привязываются события, из-за которых он был создан.
Результат 1:
Созданный алерт и привязанные к нему события доступны сотрудникам тенанта 2.
Сценарий 2. Коррелятор принадлежит главному тенанту (tenantID=1):
Коллектор тенанта 2 получает и отправляет события в коррелятор.
При срабатывании корреляционных правил в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
Создается алерт, привязанный к тенанту с идентификатором tenantID=1.
К алерту привязываются события, из-за которых он был создан.
Результат 2:
Алерт и привязанные к нему события недоступны сотрудникам тенанта 2.
Алерт и привязанные к нему события доступны сотрудникам главного тенанта.
Развернуто два коллектора: на главном тенанте и тенанте 2.
Развернуто два коррелятора:
Коррелятор 1 принадлежит главному тенанту и принимает события с коллектора главного тенанта и коррелятора 2.
Коррелятор 2 принадлежит тенанту 2 и принимает события с коллектора тенанта 2.
Сценарий:
Коллектор тенанта 2 получает и отправляет события в коррелятор 2.
При срабатывании корреляционного правила в корреляторе тенанта 2 создаются корреляционные события с идентификатором тенанта tenantID=2.
Коррелятор 2 отправляет корреляционные события в раздел хранилища тенанта 2.
Создается алерт 1, привязанный к тенанту с идентификатором tenantID=2.
К алерту привязываются события, из-за которых он был создан.
Корреляционные события от коррелятора тенанта 2 отправляются в коррелятор 1.
Коллектор главного тенанта получает и отправляет события в коррелятор 1.
В корреляторе 1 обрабатываются события обоих тенантов. При срабатывании корреляционного правила создаются корреляционные события с идентификатором тенанта tenantID=1.
Коррелятор 1 отправляет корреляционные события в раздел хранилища главного тенанта.
Создается алерт 2, привязанный к тенанту с идентификатором tenantID=1.
К алерту привязываются события, из-за которых он был создан.
Результат:
Алерт 2 и привязанные к нему события недоступны сотрудникам тенанта 2.
Алерт 2 и привязанные к нему события доступны сотрудникам главного тенанта.
Если вы не хотите, чтобы при корреляции события от разных тенантов смешивались, в правилах корреляции в поле Группирующие поля следует указывать поле события TenantId. В таком случае алерт наследует тенант от коррелятора.
Условие:
Развернуто два коллектора: на тенанте 2 и тенанте 3.
Развернут один коррелятор, принадлежащий главному тенанту (tenantID=1). Он принимает события от обоих тенантов, но обрабатывает их независимо друг от друга.
Сценарий:
Коллектор тенанта 2 получает и отправляет события в коррелятор.
Коллектор тенанта 3 получает и отправляет события в коррелятор.
При срабатывании корреляционного правила в корреляторе создаются корреляционные события с идентификатором тенанта tenantID=1.
Коррелятор отправляет корреляционные события в раздел хранилища главного тенанта.
Создается алерт, привязанный к главному тенанту с идентификатором tenantID=1.
К алерту привязываются события, из-за которых он был создан.
Результат:
Алерты, созданные на основе событий от тенанта 2 и 3, недоступны сотрудникам тенантов 2 и 3.
Алерты и привязанные к ним события доступны сотрудникам главного тенанта.