При создании правил парсинга событий в окне параметров нормализатора на вкладке Схема нормализации вы можете настроить правила приведения поступающих событий к формату KUMA. Доступные параметры парсинга событий описаны в таблице ниже.
Доступные параметры парсинга событий
Параметр |
Описание |
---|---|
Название |
Название правил парсинга. Максимальная длина имени: 128 символов в кодировке Unicode. Название основного правила парсинга будет использоваться в качестве названия нормализатора. Обязательный параметр. |
Тенант |
Название тенанта, которому принадлежит ресурс. Параметр недоступен для дополнительных правил парсинга. |
Метод парсинга |
Тип входящих событий. В зависимости от выбранного метода парсинга вы можете использовать преднастроенные правила сопоставления полей событий или задать свои правила. При выборе некоторых методов парсинга могут стать доступны дополнительные параметры, которые вам нужно заполнить. Доступные методы парсинга: Обязательный параметр. |
Сохранить исходное событие |
Сохранение исходных событий во вновь созданном нормализованном событии. Доступные значения:
Обязательный параметр. Параметр недоступен для дополнительных правил парсинга. |
Сохранить дополнительные поля |
Сохранение поля и значения, для которых не настроены правила сопоставления. Данные сохраняются в поле события Фильтрация по данным из поля события Extra По умолчанию дополнительные поля не сохраняются. Обязательный параметр. |
Описание |
Описание ресурса. Максимальная длина описания: до 4000 символов в кодировке Unicode. Параметр недоступен для дополнительных правил парсинга. |
Примеры событий |
Пример данных, которые вы хотите обработать. Параметр недоступен для методов парсинга netflow5, netflow9, sflow5, ipfix и sql. Если парсинг события был выполнен успешно и тип полученных из сырого события данных совпадает с типом поля KUMA, поле Примеры событий заполняется данными, полученными из сырого события. Например, значение |
Сопоставление |
Параметры для настройки сопоставления полей исходного события с полями события в формате KUMA:
Если размер поля события KUMA оказывается меньше длины помещаемого в него значения, значение обрезается до размера поля события. |
Расширенная схема события
При нормализации событий, помимо полей стандартной схемы событий KUMA, могут быть использованы поля расширенной схемы событий. При использовании полей расширенной схемы событий сохраняется общее ограничение для максимального размера события обрабатываемого коллектором - 4 МБ. Информация о типах полей расширенной схемы событий приведена в таблице ниже.
Использование значительного количества уникальных полей расширенной схемы событий может привести к снижению производительности системы, увеличению объёма дискового пространства, необходимого для хранения событий и сложности восприятия данных.
Мы рекомендуем предварительно продумать и сформировать минимально необходимый набор дополнительных полей расширенной схемы событий и использовать его в нормализаторах и корреляции.
Чтобы использовать поля расширенной схемы событий:
Нормализатор сохранен, дополнительное поле создано. После сохранения нормализатора дополнительное поле может быть использовано в других нормализаторах и ресурсах KUMA.
Если данные, находящиеся в полях сырого события, не соответствуют типу поля KUMA, в процессе нормализации событий значение не будет сохранено, если невозможно выполнить преобразование типов данных. Например, строка test
не может быть помещена в числовое поле KUMA DeviceCustomNumber1
.
С точки зрения нагрузки на сервер хранения при операциях поиска событий, подготовки отчётов и других операций с событиями в хранилище наиболее предпочтительными являются поля схемы событий KUMA, после чего идут поля расширенной схемы событий, затем поля Extra
.