Экспорт событий в файл

Экспорт событий при подключении к Серверу через веб-интерфейс

При подключении к Серверу через веб-интерфейс вы можете экспортировать информацию о событиях (в том числе об инцидентах) в файлы следующих форматов:

• Формат CSV.

  При экспорте в этот формат в файле сохраняется информация из граф, отображаемых в таблице в текущий момент.

• Формат JSON.

  При экспорте в этот формат в файле сохраняется вся доступная информация о событиях, включая служебную информацию из базы данных (например, сведения об устройствах, с которыми связаны события). Файл можно использовать для загрузки подробных данных о событиях в другие системы.

Экспорт в файлы форматов CSV и JSON можно выполнять для всех событий, удовлетворяющих текущим параметрам фильтрации и поиска, или выборочно для событий, отображаемых в таблице.

Чтобы экспортировать информацию о всех событиях, удовлетворяющих текущим параметрам фильтрации и поиска, выполните следующие действия:

1. Выберите раздел События.
2. По ссылке Экспорт в панели инструментов откройте меню для выбора формата сохраняемого файла.
3. В открывшемся меню выберите пункт с нужным форматом файла: файл формата CSV или файл формата JSON.

   Запустится процесс формирования файла.

4. Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
   1. Нажмите на кнопку в меню веб-интерфейса программы.

      Откроется список фоновых операций.

   2. Дождитесь завершения операции формирования файла.
   3. Нажмите на кнопку Загрузить файл.

Браузер сохранит загруженный файл. В зависимости от используемого браузера на экране может появиться окно для изменения пути и имени сохраняемого файла.

Чтобы экспортировать информацию о выбранных событиях, выполните следующие действия:

1. Выберите раздел События.
2. В таблице событий выберите события, информацию о которых вы хотите экспортировать в файл.

   После выбора событий в правой части окна веб-интерфейса появится область деталей.

3. В кнопке Экспортировать в: CSV-файл или JSON-файл нажмите на ту часть, в которой указан нужный формат файла.

   Запустится процесс формирования файла. Если формирование файла занимает длительное время (более 15 секунд), выполните действия пункта 4, описанные в процедуре экспорта информации о всех событиях.

Экспорт событий с помощью утилиты экспорта

В версии Kaspersky Industrial CyberSecurity for Networks 3.0.1 вы можете экспортировать события и инциденты в файлы формата XML с помощью утилиты экспорта событий. Утилита предназначена для использования на компьютерах под управлением операционной системы Astra Linux SE 1.6. Файл для запуска утилиты export-xml входит в комплект поставки Kaspersky Industrial CyberSecurity for Networks 3.0.1.

Утилита экспорта событий сохраняет файлы с информацией о событиях и инцидентах в указанной директории. Информация о каждом событии или инциденте сохраняется в виде отдельного файла, в имени которого указан идентификатор события или инцидента. Файл содержит всю доступную информацию о событии или инциденте, включая служебную информацию из базы данных (например, сведения об устройствах, с которыми связаны события).

С помощью утилиты экспорта событий выполняется экспорт всех событий и инцидентов, зарегистрированных в течение указанного промежутка времени.

Утилита экспорта событий подключается к Серверу программы через коннектор, который должен быть предварительно добавлен в программу.

Чтобы подготовить программу к использованию утилиты экспорта событий, выполните следующие действия:

1. Добавьте в программу коннектор, через который утилита экспорта событий будет подключаться к Серверу программы. Для коннектора укажите системный тип Generic.
2. На компьютере, на котором будет использоваться утилита, создайте произвольную директорию для сохранения экспортированных файлов. В качестве такой директории вы можете использовать специально созданную директорию для сохранения файлов на сетевой ресурс.
3. Скопируйте на компьютер файл для запуска утилиты export-xml из комплекта поставки Kaspersky Industrial CyberSecurity for Networks 3.0.1.
4. Перейдите в директорию с файлом export-xml и введите команду для предоставления прав на запуск файла:

   sudo chmod +x ./export-xml

5. Если файл свертки, полученный при выполнении пункта 1, отсутствует на компьютере, на котором будет использоваться утилита, скопируйте этот файл на компьютер (например, в директорию, в которой находится файл export-xml).

Чтобы экспортировать информацию о событиях с помощью утилиты экспорта событий, выполните следующие действия:

1. На компьютере, на котором будет использоваться утилита, откройте консоль операционной системы и перейдите в директорию с файлом export-xml.
2. В командной строке введите команду:

   ./export-xml -p <пароль для доступа к сертификату коннектора> \
-с <путь к файлу свертки> \
-f <дата и время начала периода регистрации событий> \
-t <дата и время окончания периода регистрации событий> \
-d <имя директории для сохранения файлов> \
-m <идентификатор производителя программы> \
-i <идентификатор экземпляра программы> \
-z <смещение относительно времени UTC>

   где:

   • <пароль для доступа к сертификату коннектора> – пароль, заданный при добавлении коннектора, через который утилита экспорта событий подключается к Серверу программы (обязательный параметр).
   • <путь к файлу свертки> – полный путь и имя файла свертки, созданного при добавлении коннектора, через который утилита экспорта событий подключается к Серверу программы (обязательный параметр).
   • <дата и время начала периода регистрации событий>, <дата и время окончания периода регистрации событий> – начальная и конечная дата и время периода, в течение которого были зарегистрированы события для экспорта (обязательные параметры). Формат записи значения: ГГГГ-ММ-ДДTчч:мм:сс (например: 2021-05-23T13:45:21).
   • <имя директории для сохранения файлов> – полный путь к директории для сохранения экспортированных файлов (обязательный параметр).
   • <идентификатор производителя программы> – идентификатор в диапазоне 0–9999, представляющий производителя программы (по умолчанию 55).
   • <идентификатор экземпляра программы> – идентификатор в диапазоне 0–9999, представляющий экземпляр программы (по умолчанию 1).
   • <смещение относительно времени UTC> – положительное или отрицательное смещение относительно времени UTC для заданных границ периода регистрации событий, выражается в минутах (по умолчанию 180 минут, что соответствует положительному смещению 3 часа).

     Пример: ./export-xml -p Password1234 -c ./connectorXML.zip -f 2021-05-23T13:45:21 -t 2021-05-23T14:45:21 -d ./output -i 12

   После завершения работы утилиты проверьте наличие файлов экспортированных событий в заданной директории.

В начало