Создание маршрутизатора событий
Маршрутизатор событий – это сервис, который позволяет принимать потоки событий от коллекторов и корреляторов и дальше распределять события по заданным точкам назначения в соответствии с настроенными фильтрами.
Чтобы события из коллектора были направлены в маршрутизатор событий, нужно создать ресурс точки назначения eventRouter с адресом марштуризатора событий и привязать ресурс к тем коллекторам, которые должны отправлять события в маршутизатор.
Маршутизатор событий принимает события по API-порту, как и точки назначения типа storage и correlator.
Создать маршрутизатор можно в разделе Ресурсы. Маршрутизация в соответствии с заданными фильтрами происходит следующим образом: например, если в маршрутизаторе событий на вкладке Дополнительные параметры задан фильтр для поля DeviceCustomString = correlator, события будут переданы в коррелятор; если задан фильтр для поля DeviceCustomString = storage, события будут переданы в хранилище.
Использование маршрутизатора событий позволяет снизить утилизацию каналов связи, что актуально для каналов с невысокой пропускной способностью и каналов, уже загруженных продуктивным трафиком.
Возможные сценарии использования:
Коллектор – маршрутизатор в дата-центре
Коллектор передает события на маршрутизатор в дата-центре, а маршрутизатор передает события в заданные точки назначения: коррелятор и хранилище.
Предусловия:
- В филиалах настроены коллекторы от KUMA 3.2.
- В дата-центре есть мощности для установки Маршрутизатора событий.
- В дата-центре установлена KUMA 3.2.
Шаги:
- В дата-центре:
- Создать сервис Маршрутизатор событий.
- Создать точки назначения типов storage и correlator и указать их в Маршрутизаторе событий.
- В Маршрутизаторе событий на вкладке Дополнительные параметры настроить фильтр, чтобы передавать события в хранилище и/или коррелятор. Например, DeviceCustomString = correlator или DeviceCustomString = storage.
- Настроить обогащение.
- В коллекторах филиалов:
- Создать точку назначения типа eventRouter.
- Указать URL Маршрутизатора событий в дата-центре офисе.
- Если eventRouter заменяет собой прежде настроенные точки назначения, их можно удалить.
Постусловие:
- Коллекторы в филиалах настроены.
- Маршрутизатор событий в дата-центре настроен.
Соединения филиалов с дата-центром оптимизированы: теперь не требуется в каждом коллекторе настраивать отправку событий и в хранилище, и в коррелятор в дата-центре, - таким образом нагрузка на канал связи будет снижена вдвое.
Маршрутизация в хранилище и коррелятор будет выполнена уже в дата-центре.
Каскадное подключение: несколько коллекторов – маршрутизатор в филиале, маршрутизатор в филиале – маршрутизатор в дата-центре
Несколько коллекторов передают события в маршрутизатор событий в филиале, маршрутизатор событий в филиале передает события в маршрутизатор в дата-центре, где уже происходит передача событий в заданные точки назначения: корреляторы и хранилище.
Предусловия:
- В филиалах настроены коллекторы от KUMA 3.2.
- В дата-центре есть мощности для установки Маршрутизатора событий.
- В дата-центре установлена KUMA 3.2.
Шаги:
- В дата-центре:
- Создать сервис Маршрутизатор событий.
- Создать Точки назначения типа storage и correlator и указать их в Маршрутизаторе событий.
- В Маршрутизаторе событий на вкладке Дополнительные параметры настроить фильтр, чтобы передавать события в хранилище и/или коррелятор. Например, DeviceCustomString = correlator или DeviceCustomString = storage.
- В филиале:
- Создать сервис Маршрутизатор событий.
- Создать Точку назначения типа eventRouter и указать URL Маршрутизатора событий в дата-центре.
- В коллекторах филиалов:
- Создать точку назначения типа eventRouter и указать URL Маршрутизатора событий в филиале.
- Если eventRouter заменяет собой прежде настроенные точки назначения, их можно удалить.
Постусловие:
- Коллекторы в филиалах настроены.
- Маршрутизатор событий в дата-центре и маршрутизатор событий в филиале настроены.
Соединение филиалов с дата-центром оптимизированы: теперь не требуется в каждом коллекторе настраивать отправку событий в дата-центр, достаточно собрать общий поток событий на маршрутизатор и одним потоком отправить в дата-центр.
Маршрутизатор событий доступен для установки только на устройства под управлением Linux. Создавать сервис может только пользователь с ролью Главный администратор. Создавать сервис можно в любом тенанте, привязка к тенанту не накладывает никаких ограничений.
Для получения информации о параметрах работы сервиса доступны следующие метрики:
Как и для прочих ресурсов, для маршрутизатора событий в KUMA создаются следующие события аудита:
- Ресурс успешно добавлен.
- Ресурс успешно обновлен.
- Ресурс успешно удален.
Установка маршрутизатора событий состоит из двух этапов:
В начало