Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Мониторинг источников событий

В этом разделе представлена информация о мониторинге источников событий.

В этом разделе

Состояние источников

Политики мониторинга
В начало
[Topic 249532]

Состояние источников

В KUMA можно контролировать состояние источников, из которых поступают данные в коллекторы. На одном сервере может быть несколько источников событий, а данные из нескольких источников могут поступать в один коллектор.

Вы можете настроить автоматическое определение источников событий, используя один из следующих наборов полей:

  • Пользовательский набор полей. Вы можете указать от 1 до 9 полей в желаемой последовательности. TenantID отдельно задавать не нужно, определяется автоматически.
  • Применить сопоставление по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Порядок полей не подлежит изменению.

    Определение источников происходит, если следующие поля в событиях содержат непустые значения: DeviceProduct + DeviceAddress и/или DeviceHostname + TenantID (отдельно задавать это поле не нужно, определяется автоматически). Поле DeviceProcessName может содержать пустое значение. Если поле DeviceProcessName содержит непустое значение, и остальные обязательные поля заполнены, будет определен новый источник.

    Определение источников событий в зависимости от наличия непустых значений в полях событий

    DeviceProduct

    DeviceHostName

    DeviceAddress

    DeviceProcessName;

    TenantID (определяется автоматически)

     

    +

    +

     

     

    +

    Определятся источник 1

    +

     

    +

     

    +

    Определятся источник 2

    +

    +

    +

     

    +

    Определятся источник 3

    +

    +

     

    +

    +

    Определятся источник 4

    +

     

    +

    +

    +

    Определятся источник 5

    +

    +

    +

    +

    +

    Определятся источник 6

     

    +

    +

     

    +

    Источник не определяется

     

    +

     

    +

    +

    Источник не определяется

     

     

    +

    +

    +

    Источник не определяется

    +

     

     

    +

    +

    Источник не определяется

Применяется только один набор полей для всей инсталляции. При обновлении на новую версию KUMA применяется набор полей по умолчанию. Настраивать набор полей для определения источника событий может только пользователь с ролью Главный администратор. После того как вы сохраните изменения в наборе полей, ранее определенные источники событий будут удалены из веб-интерфейса KUMA и из базы данных. При необходимости вы можете вернуться к использованию набора полей для определения источников событий по умолчанию. Чтобы измененные параметры вступили в силу и KUMA начала определять источники с учетом новых параметров, перезапустите коллекторы.

Чтобы определить источники событий:

  1. В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Состояние источников нажмите кнопку в виде гаечного ключа.
  3. В открывшемся окне Настройки определения источников в раскрывающемся списке Группирующие поля для определения источника выберите поля событий, по которым вы хотите определять источники событий.

    Вы можете указать от 1 до 9 полей в желаемой последовательности. В пользовательской конфигурации KUMA определяет источники, в которых заполнено поле TenantID (отдельно задавать это поле не нужно, определяется автоматически) и хотя бы одно поле из указанных в списке Группирующие поля для определения источника. Для числовых полей 0 является пустым значением. Если для определения источников выбрано одно числовое поле и значение числового поля равно 0, источник не будет определен.

    После того, как вы сохраните измененный набор полей, будет создано событие аудита и все ранее определенные источники будут удалены из веб-интерфейса KUMA и из базы данных, назначенные политики будут отключены.

  4. Если вы хотите вернуться к списку полей для определения источника событий по умолчанию, нажмите Применить сопоставление по умолчанию. Порядок полей по умолчанию не подлежит изменению. Если вы вручную укажете поля в неверном порядке, появится ошибка и кнопка сохранения настроек будет недоступна. Корректная последовательность полей по умолчанию: DeviceProduct, DeviceHostName, DeviceAddress, DeviceProcessName. Минимальная конфигурация для определения источников событий с использованием набора событий по умолчанию: непустые значения в полях событий DeviceProduct + DeviceAddress и/или DeviceHostName + TenantID (определяется автоматически).
  5. Нажмите Сохранить.
  6. Перезапустите коллекторы, чтобы изменения вступили в силу и источники событий начали определяться по заданному списку полей.

Настройка определения источников выполнена.

Чтобы просмотреть события, которые относятся к источнику событий:

  1. В веб-интерфейсе KUMA перейдите в раздел Состояние источников.
  2. В открывшемся окне Список источников событий выберите в списке нужный источник событий и в столбце Название разверните меню для выбранного источника событий, нажмите на кнопку событий за <количество> дней.

    KUMA выполнит переход в раздел События, где вы сможете просмотреть список событий для выбранного источника за последние 5 минут. В запросе автоматически будут указаны значения полей, заданных в параметрах определения источника событий. При необходимости в разделе События можно изменить в запросе временной интервал и нажать Выполнить запрос повторно, чтобы просмотреть выборку за указанный промежуток времени.

Ограничения

  1. В конфигурации с использованием набора полей по умолчанию KUMA регистрирует источник событий при условии, что поля DeviceProduct + DeviceAddress и/или DeviceHostName содержатся в сыром событии.

    Если сырое событие не содержит поля DeviceProduct + DeviceAddress и/или DeviceHostName, вы можете выполнить следующие действия:

    • Настроить обогащение в нормализаторе: на вкладке нормализатора Обогащение выберите тип данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и/или DeviceHostName и нажмите ОК.
    • Использовать правило обогащения: выберите тип источника данных Событие, укажите значения для параметра Исходное поле, для параметра Целевое поле выберите DeviceProduct + DeviceAddress и/или DeviceHostName и нажмите Создать. Созданное правило обогащения необходимо привязать к коллектору на шаге Обогащение событий.

    KUMA выполнит обогащение и зарегистрирует источник событий.

  2. Если в KUMA поступают события с одинаковыми значениями полей, определяющих источник, KUMA регистрирует разные источники при следующих условиях:
    • Значения обязательных полей совпадают, но для событий определяются разные тенанты.
    • Значения обязательных полей совпадают, но для одного из событий указано необязательное поле DeviceProcessName.
    • Значения обязательных полей совпадают, но у данных в этих полях не совпадает регистр.

Если вы хотите, чтобы KUMA регистрировала для таких событий один источник, вы можете дополнительно настроить поля в нормализаторе.

Списки источников формируются в коллекторах, объединяются в Ядре KUMA и отображаются в веб-интерфейсе приложения в разделе Состояние источников на вкладке Список источников событий. Данные обновляются ежеминутно.

Данные о частоте и количестве поступающих событий являются важным показателем состояния наблюдаемой системы. Вы можете настроить политики мониторинга, чтобы изменения отслеживались автоматически и при достижении индикаторами определенных граничных значений автоматически создавались уведомления. Политики мониторинга отображаются в веб-интерфейсе KUMA в разделе Состояние источников на вкладке Политики мониторинга.

При срабатывании политик мониторинга создаются события мониторинга с данными об источнике событий.

В этом разделе

Список источников событий
В начало
[Topic 221645]

Список источников событий

Источники событий отображаются в таблице в разделе Состояние источниковСписок источников событий. На одной странице отображается до 250 источников. Таблицу можно сортировать, нажав на заголовок столбца нужного параметра и выбрав По возрастанию или По убыванию.

Источники событий можно искать по названию с помощью поля Поиск. Поиск осуществляется с помощью регулярных выражений (RE2). Вы также можете фильтровать таблицу по столбцам Статус или Политика мониторинга, нажав на заголовок необходимого столбца и выбрав значения, которые вы хотите отобразить.

При необходимости вы можете настроить период обновления данных в таблице. Доступные периоды обновления: 1 минута, 5 минут, 15 минут, 30 минут, 1 час. По умолчанию указано значение: Не обновлять. Настройка периода обновления может потребоваться для отслеживания изменений в списке источников.

Просмотр информации об источниках событий

В разделе Состояние источников Список источников событий доступны следующие столбцы с информацией об источниках событий:

  • Статус – статус источника:
    • зеленый – события поступают в пределах назначенных политик мониторинга;
    • красный – частота или количество поступающих событий выходит за границы, определенные хотя бы в одной назначенной политики мониторинга;
    • серый – источнику событий не присвоены политики мониторинга.

    В случае красного статуса генерируется событие типа Monitoring. Событие мониторинга формируется в тенанте, которому принадлежит источник события, и направляется в хранилище тенанта Main (хранилище должно быть предварительно развернуто в тенанте Main). Если у вас есть доступ к тенанту источника событий и нет доступа к тенанту Main, вы все равно можете осуществлять поиск по событиям мониторинга в хранилище тенанта Main, события мониторинга доступных вам тенантов будут отображаться. Также доступна отправка уведомлений по произвольному адресу электронной почты.

    Таблицу можно фильтровать по статусу.

  • Название – название источника события. Название формируется автоматически из значений полей, заданных в параметрах определения источника событий.

    Вы можете изменить название источника событий в таблице источников событий, наведя курсор мыши на нужное название и нажав на значок карандаша pensil_icon. Название может содержать не более 128 символов в кодировке Unicode.

  • Имя хоста или IP-адрес – название хоста или IP-адрес, откуда поступают события, если в параметрах определения источников событий заданы поля DeviceHostName или DeviceAddress.
  • Политика мониторинга – список политик мониторинга, назначенных источнику событий.

    Если вы хотите отфильтровать список источников событий по примененными политикам мониторинга, нажмите на название этого столбца и выберите одну или несколько политик мониторинга. При необходимости вы можете найти нужные политики в списке с помощью поля Поиск.

    Вы можете просмотреть информацию обо всех политиках мониторинга, назначенных источнику событий, нажав на строку необходимого источника. В открывшемся окне отображаются параметры политик мониторинга, а также статус источника по каждой политике. Если источнику назначено несколько политик мониторинга, в случае отображения красного статуса в таблице источников в этом окне вы можете определить, какая из политик сработала. Вы также можете просмотреть, какие политики включены, а какие выключены и когда выключенные политики будут снова включены.

  • Поток – частота, с которой из источника поступают события. Если на источник назначены политики мониторинга только типа byCount или политики мониторинга разных типов, отображается как количество событий. Если на источник назначены политики мониторинга только типа byEPS или политики не назначены, отображается как количество событий в секунду.
  • Тенант – тенант, к которому относятся события, поступающие из источника.

Управление источниками событий

Вы можете выбрать один или несколько источников событий, установив флажки в первом столбце таблицы. Вы можете выбрать сразу несколько источников событий для выполнения групповых операций, установив флажок в первом столбце в заголовке таблицы и выбрав Выбрать все или Выбрать все на странице. Вариант Выбрать все на странице работает только с отображаемыми в списке источниками событий: если в списке отображаются только 500 из 1500 источников, то групповые действия по выгрузке, включению или отключению политик или удалению будут применены только к выбранным 500 источникам. Если вы хотите выполнить действие со всеми источниками в таблице, выберите Выбрать все.

Если выбрать источники событий, становятся доступны следующие кнопки:

  • Включить политику – с помощью этой кнопки для источников событий можно включить политику мониторинга. При применении требуется выбрать политики в открывшемся окне.
  • Отключить политику – с помощью этой кнопки для источников событий можно отключить политику мониторинга. При отключении требуется указать, на какой период необходимо отключить политику: временно или навсегда.
  • Обновить политику – с помощью этой кнопки можно применить к источникам событий включенные для них политики мониторинга или изменения уже назначенных на них политик мониторинга. При обновлении политики запускается задача в диспетчере задач.

    Эта кнопка становится доступна после того, как вы измените политики мониторинга, назначенные на источники событий.

  • Удалить – с помощью этой кнопки источники событий можно удалить из таблицы. Статистика по этому источнику также будет удалена. Если данные из источника продолжают поступать в коллектор, источник событий снова появится в таблице, при этом его прежняя статистика учитываться не будет.

    Если вы хотите удалить все источники событий, но с последнего обновления таблицы прошло некоторое время, добавленные за это время источники могут не отобразится в таблице, но они будут удалены.

    Если вы удаляете более 100 000 источников событий, к которым применен фильтр или поиск, будут удалены только первые 100 000 источников событий. Вы можете снова выбрать все отфильтрованные источники событий и удалить их, а затем повторить это действие, пока не будут удалены все необходимые источники событий. Вы можете удалить более 100 000 источников событий, если к ним не применены фильтр или поиск, выбрав источники с помощью кнопки Выбрать все.

  • CSV – с помощью этой кнопки можно выгрузить данные выбранных источников событий в файл CSV.

    Выгрузка поля "Stream" выполняется только если на источник события была назначена политика мониторинга, тогда в выгружаемом файле будет указана единица измерения потока, взятая из политики. Если политика не назначена, пустое поле "Stream" – это ожидаемое поведение.

  • Построить диаграмму – с помощью этой кнопки можно построить диаграмму поступления событий за последние семь дней для выбранных источников событий. Вы можете выбрать не более пяти источников событий

    .

Выгрузка данных об источниках событий в файл CSV

Вы можете выгрузить информацию об одном или нескольких источниках событий и примененных к ним политик мониторинга в файл CSV в кодировке UTF-8. Если к источнику применены несколько политик мониторинга, в файле для этого источника каждая политика мониторинга и ее параметры будут записаны на отдельной строке. Для каждой политики мониторинга, примененной к источнику, в файл будут выгружены следующие параметры: Статус, Название, Политика мониторинга, Нижний порог, Верхний порог, Поток, Тенант.

Чтобы выгрузить информацию об источниках событий в файл CSV:

  1. В Консоли KUMA в разделе Состояние источниковСписок источников событий выберите в таблице один или несколько источников событий, установив флажки в первом столбце напротив нужных источников.

    В левой нижней части таблицы отображается количество выбранных источников и общее количество источников в таблице. Вы можете выбрать не более 150 000 источников событий.

    Вы можете выбрать сразу несколько источников событий в списке, нажав на флажок в первом столбце в заголовке таблицы и выбрав одно из следующих значений:

    • Выбрать все – выбрать все источники событий на всех страницах таблицы. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники, удовлетворяющие условию поиска.
    • Выбрать все на странице – выбрать все источники событий на открытой странице. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники на открытой странице, удовлетворяющие условию поиска.
  2. Нажмите на кнопку CSV в верхней части таблицы.

    В зависимости от размера окна вашего браузера кнопка CSV может находиться в дополнительном меню, доступном при нажатии на значок в виде трех точек .

    Новая задача экспорта источников событий будет создана в диспетчере задач.

  3. Перейдите в раздел Диспетчер задач и найдите созданную задачу.

    Когда файл будет готов, в строке задачи в столбце Статус отобразится статус Завершено.

  4. Нажмите на название типа задачи и в раскрывающемся списке выберите Скачать.

CSV-файл с информацией об источниках будет скачан с использованием параметров вашего браузера. Имя файла по умолчанию event-source-list.csv.

Просмотр динамики поступления событий

Вы можете изучить динамику поступления событий от источника за последние семь дней с учетом примененных политик мониторинга одним из следующих способов:

  • просмотреть график для одного источника событий;
  • построить диаграмму на основе графиков для нескольких источников (не более пяти).

Просмотреть график для одного источника событий вы можете в Консоли KUMA в разделе Состояние источниковСписок источников событий, нажав на значок стрелки в строке нужного источника событий. График поступления событий откроется под строкой источника.

Данные на графике отображаются следующим образом:

  • Данные отображаются за те дни, в которые поступали события. Максимальный период – семь дней.

    В левом верхнем углу над графиком вы можете просмотреть количество дней, а в правом верхнем углу – период отображение данных. Вы можете нажать на кнопку События за <количество> дней, чтобы перейти в раздел События и просмотреть список событий для выбранного источника.

  • На оси X отображаются дни, на оси Y – частота поступления событий (EPS).
  • Линии отражают среднее, максимальное и минимальное количество событий за каждые 15 минут в течение последних семи дней.

    Если вы хотите просмотреть количество событий в конкретное время, наведите курсор мыши на точку на графике. Отобразится всплывающая подсказка со средним, максимальным и минимальным количеством событий в конкретные дату и время.

Вы также можете построить диаграмму поступления событий на основе графиков для нескольких источников событий, например, если вам нужно сравнить активность однотипных источников событий, которые должны вести себя похоже, но фактически ведут себя по-разному.

Чтобы построить диаграмму на основе графиков для нескольких источников событий:

  1. В Консоли KUMA в разделе Состояние источниковСписок источников событий выберите в таблице один или несколько источников событий, установив флажки в первом столбце напротив нужных источников.

    Вы можете построить диаграмму максимум для 5 источников событий одновременно.

  2. Нажмите на кнопку Построить диаграмму в верхней части таблицы.

    В зависимости от размера окна вашего браузера кнопка Построить диаграмму может находиться в дополнительном меню, доступном при нажатии на значок в виде трех точек .

    В открывшейся панели Диаграмма отобразится диаграмма поступления событий для всех выбранных источников, а также таблица, в которой для каждого источника отображается текущее количество событий, максимальное и среднее количество событий, рассчитанные по данным на диаграмме. Вы можете сравнить, как данные для выбранных источников соотносятся друг с другом во времени.

    Данные на диаграмме отображаются следующим образом:

    • Данные отображаются за те дни, в которые поступали события. Максимальный период – семь дней.

      В правом верхнем углу над диаграммой вы можете просмотреть период отображение данных.

    • На оси X отображаются дни, на оси Y – частота поступления событий (EPS).
    • Линии на диаграмме отображают среднее количество поступивших событий для выбранных источников событий за каждые 15 минут в течение последних семи дней.

    Вы можете навести курсор мыши на диаграмму, чтобы просмотреть среднее количество событий для каждого источника в конкретное время.

  3. При необходимости снимите флажки в таблице под диаграммой напротив тех источников событий, которые вы хотите скрыть на диаграмме.
  4. Если вы хотите отобразить диаграмму более детализированно, нажмите на значок двух стрелок , чтобы открыть панель на весь экран и увеличить масштаб диаграммы.
В начало
[Topic 221773]

Политики мониторинга

Данные о частоте и количестве поступающих событий являются показателем состояния системы. Например, можно обнаружить, когда поток событий стал аномально большим, слишком слабым или вообще прекратился. Политики мониторинга предназначены для отслеживания таких ситуаций. В политике вы можете задать нижнее пороговое значение, дополнительно задать верхний порог, и каким образом будут считаться события: по частоте или по количеству.

Политику нужно применить к источнику события. Вы можете применить к источнику одну или несколько политик мониторинга. После применения политики вы можете отслеживать статус источника на вкладке Список источников событий.

Политики мониторинга источников событий отображаются в таблице в разделе Состояние источниковПолитики мониторинга. Таблицу можно сортировать, нажимая на заголовок столбца нужного параметра. Максимальный размер списка политик не ограничен.

В столбце Источники вы можете нажать на кнопку Показать, чтобы просмотреть все источники событий, к которым применена политика. При нажатии на эту кнопку вы будете перенаправлены в раздел Список источников событий, и таблица источников будет отфильтрована по выбранной политике.

Алгоритм работы политик мониторинга

Политики мониторинга применяются к источнику события по следующему алгоритму:

  1. Поток событий подсчитывается на коллекторе.
  2. Сервер Ядра KUMA с интервалом в 15 секунд собирает с коллекторов информацию о потоке.
  3. Собранные данные хранятся на сервере Ядра KUMA в СУБД временных рядов Victoria Metrics, и глубина хранения данных на сервере Ядра KUMA составляет 15 суток.
  4. Один раз в минуту выполняется инвентаризация источников событий.
  5. Поток подсчитывается отдельно для каждого источника событий по следующим правилам:
    • Если к источнику событий применяется политика мониторинга, то отображаемое отображается максимальное число потока событий считается согласно работающим в текущий момент политикам мониторинга за интервал времени, указанный в политике.

      В зависимости от типа политики число потока событий подсчитывается в количестве событий (для типа политики byCount) или в количестве событий в секунду (EPS, для политики типа byEPS). Вы можете узнать, в чем считается поток для назначенной политики, в столбце Поток на странице Список источников событий.

    • Если к источнику событий не применяется политика мониторинга, число потока событий отображает последнее значение.
  6. Один раз в минуту проверяется, есть ли политики мониторинга, которые должны примениться к источникам событий или остановиться в соответствии с расписанием политики мониторинга.
  7. Один раз в минуту поток событий проверяется на соответствие параметрам политики.

Если поток событий от источника выходит за пределы значений, указанных в политике мониторинга, информация об этом будет зафиксирована следующим образом:

  • Уведомление о срабатывании политики мониторинга будет отправлено на адреса электронной почты, указанные в политике. Для каждой политики вы также можете задать шаблон уведомления.
  • Будет сформировано информационное событие мониторинга потоков типа 5 (Type=5). Событие имеет поля, описанные в таблице ниже.

    Поля события мониторинга

    Название поля события

    Значение поля

    ID

    Уникальный идентификатор события.

    Timestamp

    Время события.

    Тип.

    Тип события аудита. Событию аудита соответствует значение 5 (мониторинг).

    Name

    Имя политики мониторинга.

    DeviceProduct

    KUMA

    DeviceCustomString1

    Значение из поля value в уведомлении. Отображает значение метрики, по которой отправлено уведомление.

Сформированное событие мониторинга будет отправлено в следующие ресурсы:

  • все хранилища тенанта Main;
  • все корреляторы тенанта Main;
  • все корреляторы тенанта, в котором находится источник событий.

Добавление политики мониторинга

Чтобы добавить новую политику мониторинга:

  1. В веб-интерфейсе KUMA в разделе Состояние источниковПолитики мониторинга нажмите Добавить политику и в открывшемся окне укажите параметры политики мониторинга.
  2. В поле Название политики введите уникальное имя создаваемой политики. Название должно содержать от 1 до 128 символов в кодировке Unicode.

    Рекомендуется отразить расписание работы политики мониторинга, которое вы настроили в параметрах, в названии политики.

  3. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать политика. От выбора тенанта зависит, для каких источников событий можно будет включить политику мониторинга.
  4. В поле Тип выберите один из следующих вариантов типа политики мониторинга:
    • количество поступивших событий – по количеству событий за определенный промежуток времени.
    • частота поступления событий – по количеству событий в секунду за определенный промежуток времени (EPS). Считается среднее значение за весь промежуток. Можно дополнительно отслеживать скачки в определенные периоды.
  5. В поле Период подсчета укажите, за какой период в политике мониторинга должны учитываться данные из источника мониторинга. Вы можете выбрать значение в минутах, часах или днях с помощью раскрывающегося списка справа. Максимальное значение: 14 дней.
  6. Если вы выбрали тип политики частота поступления событий, в поле Регулярность замеров, мин укажите контрольный интервал времени в минутах, в течение которого проверки должны фиксировать отклонение числа потока событий от нормы для срабатывания политики мониторинга:
    • Если в течение этого времени все проверки, проводимые один раз в минуту, зафиксировали отклонение потока от нормы, сработает политика мониторинга.
    • Если в течение этого времени одна из проверок, проводимых один раз в минуту, зафиксировала, что поток соответствует норме, политика мониторинга не сработает и подсчет результатов проверок начнется заново.

    Если вы не укажете регулярность замеров, политика мониторинга сработает сразу после того, как будет зафиксировано отклонение потока от нормы.

  7. В поле Нижний порог и Верхний порог определите, выход за какие границы будет считаться отклонением от нормы, при котором политика мониторинга будет срабатывать, создавая алерт и рассылая уведомления.

    Параметр Нижний порог является обязательным.

  8. В поле Интервал оценки укажите частоту, с которой сервис VMalert будет делать запрос в VictoriaMetrics на получение данных по политике, пока она применяется к источнику событий. Вы можете выбрать значение в минутах, часах или днях с помощью раскрывающегося списка справа. По умолчанию выбран интервал 5 минут.

    При указании интервала оценки учитывайте расписание применения политики. Например, если вы указали применение политики ежедневно раз в несколько часов, мы не рекомендуем устанавливать частый интервал оценки, чтобы не перегружать VictoriaMetrics.

  9. При необходимости в поле Отправлять уведомления укажите электронные адреса, на которые следует отправить уведомления о срабатывании политики мониторинга KUMA. Для добавления каждого адреса введите его в поле и нажмите Enter или Добавить. Вы можете указать несколько адресов электронной почты.

    Для рассылки уведомлений необходимо настроить подключение к SMTP-серверу.

  10. В раскрывающемся списке Шаблон уведомлений выберите шаблон, который будет использоваться для отправляемых уведомлений. При необходимости нажмите на кнопку Создать, чтобы перейти к созданию нового шаблона уведомления.

    По умолчанию выбран базовый шаблон уведомлений. Вы можете сбросить выбранный шаблон и переключиться на базовый шаблон, нажав на значок крестика.

  11. В разделе параметров Расписание настройте регулярность применения политики мониторинга к источникам событий. По умолчанию политика применяется еженедельно каждый день с 00:00 до 23:59. Для настройки расписания применения политики мониторинга выполните одно или несколько следующих действий:
    • Если вы хотите применять политику мониторинга еженедельно в конкретные дни недели:
      1. Включите переключатель Настроить расписание по дням недели.
      2. В раскрывающемся списке Дни недели выберите дни недели, в которые политика будет применяться к источнику.

        Если вы хотите очистить выбор, нажмите на значок крестика.

      3. В поле Время укажите время начала и окончания работы политики с точностью до минуты.

        Границы указанного промежутка включаются, например, если время окончания применения политики указано 23:59, политика будет работать до 23:59:59.999. По умолчанию указано время с 00:00 до 23:59. Время начала должно быть меньше окончания.

      4. Если вы хотите добавить еще один период срабатывания политики, нажмите на кнопку Добавить период и повторите шаги b и c.

        Вы можете добавить неограниченное количество периодов.

    • Если вы хотите применять политику мониторинга в конкретные календарные дни:
      1. Включите переключатель Настроить расписание по конкретным дням.
      2. Нажмите на поле Дни месяца и выберите в календаре дни, в которые политика будет применяться к источнику. Вы можете выбрать период в несколько дней или только один день. Дата начала периода должна быть меньше даты окончания периода.

        Дни не привязаны к году, поэтому политика будет применяться ежегодно в указанные дни, пока вы не удалите этот период. Если вы хотите очистить выбор, нажмите на значок крестика.

      3. В поле Время укажите время начала и окончания работы политики с точностью до минуты.

        Границы указанного промежутка включаются, например, если время окончания применения политики указано 23:59, политика будет работать до 23:59:59.999. По умолчанию указано время с 00:00 до 23:59. Время начала должно быть меньше окончания.

      4. Если вы хотите добавить еще один период срабатывания политики, нажмите на кнопку Добавить период и повторите шаги b и c.

        Вы можете добавить неограниченное количество периодов.

      Если вы применили расписание по дням недели и по конкретным дням месяца одновременно, то в первую очередь применяется политика по дням месяца.

  12. Нажмите Добавить.

Политика мониторинга добавлена.

Изменение политики мониторинга

В разделе Состояние источниковПолитики мониторинга отображаются добавленные политики мониторинга и их параметры, которые вы задали при создании политики. Вы можете нажать на политику, чтобы просмотреть все параметры этой политики в открывшейся боковой панели. При необходимости в этой панели вы можете изменить параметры политики.

Если политика мониторинга применена к источнику событий, при изменении некоторых параметров политики может потребоваться ее обновить, чтобы применить изменения. Каждые 30 минут KUMA проверяет, есть ли политики мониторинга, требующие обновления, и если да, автоматически запускает задачу обновления этих политик мониторинга. Вы также можете запустить задачу обновления вручную, нажав на кнопку Обновить политику в верхней части таблицы. Все политики, которые требуют обновления, будут обновлены в рамках одной задачи.

Кнопка Обновить политику становится активна, только если есть политики мониторинга, требующие обновления. Информация о необходимости обновления политики отображается в таблице политик мониторинга в столбце Статус обновления политики в виде одного из следующих статусов:

  • Требуется обновить – один из следующих параметров политики мониторинга был изменен, но изменения не были применены к источникам событиям:
    • Название политики.
    • Тип.
    • Нижний порог.
    • Верхний порог.
    • Период подсчета.
    • Регулярность замеров.
    • Интервал оценки.
  • Обновлена – отображается в одном из следующих случаев:
    • После изменения политики запускалась задача применения политики и изменения были применены к источникам событий.
    • Вы изменили один из следующих параметров политики, который не требует запуска задачи обновления:
      • Отправлять уведомления.
      • Шаблон уведомлений.
      • Расписание.

      В этом случае измененные параметры политики будут применены к источникам событий через минуту. Изменения в параметре Шаблон уведомлений применяются сразу.

    • Измененная политика мониторинга не применяется к источникам событий.

Дата и время, когда политика последний раз была применена к источникам событий, отображаются в столбце Дата последнего применения политики.

Пока запущена задача обновления политики, кнопка Обновить политику недоступна для всех пользователей. Если другой пользователь изменил параметры политики, требующие ее обновления, кнопка Обновить политику будет активна для вас только после того, как вы обновите страницу или измените политику или источник событий.

Применение политики мониторинга

Чтобы применить политики мониторинга к источникам событий:

  1. В Консоли KUMA в разделе Состояние источниковСписок источников событий выберите в таблице один или несколько источников событий, установив флажки в первом столбце напротив нужных источников. Вы можете выбрать сразу несколько источников событий в списке, нажав на флажок в первом столбце в заголовке таблицы и выбрав одно из следующих значений:
    • Выбрать все – выберите все источники событий на всех страницах таблицы. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники, удовлетворяющие условию поиска.
    • Выбрать все на странице – выбрать все источники событий, прогрузившиеся на открытой странице. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники на открытой странице, удовлетворяющие условию поиска.

    В левой нижней части таблицы отображается количество выбранных источников и общее количество источников в таблице.

    После того как вы выберете в списке источники событий, к которым хотите применить политику мониторинга, на панели инструментов станет доступна кнопка Включить политику.

  2. Нажмите Включить политику.
  3. В открывшемся окне Включить политику выберите одну или несколько политик мониторинга, которые вы хотите применить к выбранным источникам событий. В таблице отображаются только политики мониторинга, которые вы можете назначить для выбранных источников: принадлежащие тому же тенанту или Общему тенанту, если у вас есть к нему доступ. Если для выбранных источников событий нет общих политик и у вас нет доступа к Общему тенанту, таблица политик будет пустой.

    Вы можете выбрать все доступные политики, установив флажок в первом столбце в заголовке таблицы. Вы также можете воспользоваться контекстным поиском по названию политик или отсортировать политики, нажав на заголовок столбца, по которому вы хотите отсортировать таблицу, и выбрав По возрастанию или По убыванию.

    Поиск и сортировка недоступны для столбцов Источники, Расписание, Статус обновления политики, Дата последнего применения политики.

  4. Нажмите Применить.
  5. В таблице источников нажмите Обновить политику, чтобы применить изменения к источникам событий.

Политики мониторинга будут применены к выбранным источникам событий, статус этих источников изменится на зеленый. Названия примененных к источникам политик отобразятся в столбце Политика мониторинга. Также отобразится сообщение о количестве источников, к которым были применены политики. Если политика мониторинга сработает на источнике событий, изменение статуса этого источника отобразится после того, как вы обновите страницу вручную или она обновится автоматически. Рекомендуется настроить период автоматического обновления данных для отслеживания изменений в списке источников.

Если вы выбрали более 100 000 источников событий и применили к ним одну или несколько политик, эти политики будут применены только к первым 100 000 источникам, к которым эти политики еще не были применены. Если вам нужно применить политики к оставшимся источникам, вы можете выполнить одно из следующих действий:

  • Еще раз выбрать все источники и применить к ним нужные политики.
  • Отфильтровать таблицу источников по какому-либо параметру таким образом, чтобы в таблице отобразилось не более 100 000 источников, и применить к ним нужные политики.

Повторите выбранное действие до тех пор, пока политики не будут применены ко всем нужным источникам.

Отключение политики мониторинга

Чтобы отключить политики мониторинга от источников событий:

  1. В Консоли KUMA в разделе Состояние источниковСписок источников событий выберите в таблице один или несколько источников событий, установив флажки в первом столбце напротив нужных источников.

    В левой нижней части таблицы отображается количество выбранных источников и общее количество источников в таблице. После того как вы выберете в списке источники событий, для которых применены политики мониторинга, в панели инструментов станет доступна кнопка Отключить политику.

    Вы можете выбрать сразу несколько источников событий в списке, нажав на флажок в первом столбце в заголовке таблицы и выбрав одно из следующих значений:

    • Выбрать все – выберите все источники событий на всех страницах таблицы. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники, удовлетворяющие условию поиска.
    • Выбрать все на странице – выбрать все источники событий, прогрузившиеся на открытой странице. Если вы отфильтровали источники с помощью поиска, будут выбраны все источники на открытой странице, удовлетворяющие условию поиска.
  2. Нажмите Отключить политику.
  3. В открывшемся окне Отключить политику выберите одну или несколько политик мониторинга, которые вы хотите отключить для выбранных источников событий. В таблице отображаются все политики мониторинга, примененные хотя бы к одному из выбранных источников событий.

    Вы можете выбрать все доступные политики, установив флажок в первом столбце в заголовке таблицы. Вы также можете воспользоваться контекстным поиском или отсортировать политики, нажав на заголовок столбца, по которому вы хотите отсортировать таблицу, и выбрав По возрастанию или По убыванию.

    Поиск и сортировка недоступны для столбцов Источники, Расписание, Статус обновления политики, Дата последнего применения политики.

  4. В блоке параметров над таблицей политик выполните одно из следующих действий:
    • Если вы хотите временно приостановить применение политик, выберите На определенное время и укажите время в минутах, часах или днях, по истечении которого выбранные политики снова будут применены к источникам событий. Максимальные значения:
      • для дней – 30;
      • для часов – 743;
      • для минут – 44579.
    • Если вы хотите отключить выбранные политики от источников событий навсегда, выберите Пока не включите вручную.

    По умолчанию выбрано На определенное время и установлено значение 5 минут.

  5. Нажмите Выключить.
  6. В таблице источников нажмите Обновить политику, чтобы применить изменения к источникам событий.

Политики мониторинга отключены от выбранных источников событий или приостановлены на указанное время. Статус этих источников изменится на серый в таблице. Отобразится сообщение о количестве источников, от которых были отключены политики.

Если вы выбрали более 100 000 источников событий и отключили от них одну или несколько политик, эти политики будут отключены только от первых 100 000 источников, к которым эти политики применены. Если вам нужно отключить политики от оставшихся источников, вы можете выполнить одно из следующих действий:

  • Еще раз выбрать все источники и отключить от них нужные политики.
  • Отфильтровать таблицу источников по какому-либо параметру таким образом, чтобы в таблице отобразилось до 100 000 источников включительно, и отключить от них нужные политики.

Повторите выбранное действие до тех пор, пока политики не будут отключены от всех нужных источников.

Добавление новой политики мониторинга на основе существующей

Чтобы создать политику мониторинга на основе существующей:

  1. В веб-интерфейсе KUMA в разделе Состояние источниковПолитики мониторинга выберите политику мониторинга, на основе которой вы хотите создать политику.

    При необходимости вы можете найти необходимые политики мониторинга с помощью поля Поиск. Поиск будет осуществляться по столбцам Название, Тенант, Тип, Расписание (название дня и время).

  2. Нажмите Дублировать политику.
  3. В открывшемся окне Добавить политику измените параметры политики.

    По умолчанию в название новой политики будет добавлено "- копия". Остальные параметры будут такие же, как в дублируемой политике.

  4. Нажмите на кнопку Добавить, чтобы создать политику.

Политика мониторинга будет создана на основе существующей политики.

Удаление политики мониторинга

Чтобы удалить политику мониторинга:

  1. В веб-интерфейсе KUMA в разделе Состояние источниковПолитики мониторинга выберите одну или несколько политик мониторинга, которые вы хотите удалить.

    При необходимости вы можете найти необходимые политики мониторинга с помощью поля Поиск. Поиск будет осуществляться по столбцам Название, Тенант, Тип, Расписание (название дня и время).

  2. Нажмите Удалить политику и подтвердите действие.

Выбранные политики мониторинга будут удалены.

Невозможно удалить предустановленные политики мониторинга, а также политики, назначенные источникам событий.

В начало
[Topic 221775]