Содержание
Расширенная схема событий
Вы можете использовать поля расширенной схемы событий в нормализаторах для нормализации событий и в других ресурсах KUMA, например, в качестве полей виджетов или для фильтрации и поиска событий. Список всех полей расширенной схемы событий, существующих в KUMA, доступен в разделе Параметры → Поля расширенной схемы событий. Список полей расширенной схемы событий единый для всех тенантов.
Просматривать таблицу полей расширенной схемы событий могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Чтение общих ресурсов, Редактирование общих ресурсов.
Таблица Поля расширенной схемы событий содержит следующие данные:
- Тип – тип данных поля расширенной схемы событий.
- Имя поля – имя поля расширенной схемы событий, без типа.
Вы можете нажать на имя, чтобы изменить параметры поля расширенной схемы событий.
- Статус – возможность использовать поле расширенной схемы событий в ресурсах.
Вы можете перевести переключатель в положение Включено или Выключено, чтобы разрешить или запретить использование этого поля расширенной схемы событий в новых ресурсах. При этом выключенное поле все еще будет использоваться в уже работающих конфигурациях ресурсов, пока вы не удалите его из конфигурации вручную, а также будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.
Выключить использование поля расширенной схемы событий может только пользователь с ролью Главный администратор.
- Дата обновления – дата и время последнего изменения поля расширенной схемы событий.
- Создал – имя пользователя, который создал поле расширенной схемы событий.
- Зависимости – количество ресурсов KUMA, макетов панели мониторинга, отчетов, пресетов и наборов полей для поиска источников событий, использующих поле расширенной схемы событий.
Вы можете нажать на число, чтобы открыть панель с таблицей всех ресурсов и других сущностей KUMA, в которых используется это поле. Для каждой зависимости в таблице отображается название, тенант (только для ресурсов) и тип. Зависимости в таблице отсортированы по названию. Вы можете нажать на название зависимости, чтобы перейти на ее страницу (кроме макетов панели мониторинга, пресетов и сохраненных запросов пользователей).
Вы можете просмотреть зависимости поля расширенной схемы событий только от тех ресурсов и сущностей, к тенантам которых у вас есть доступ. Если у вас нет доступа к тенанту, соответствующие ресурсы не будут отображаться в таблице, но будут учитываться в количестве зависимостей.
- Описание – текстовое описание поля.
По умолчанию таблица полей расширенной схемы событий отсортирована по убыванию даты обновления. При необходимости вы можете отсортировать таблицу, нажав на заголовок столбца и выбрав По возрастанию или По убыванию, а также воспользоваться контекстным поиском по имени поля.
По умолчанию в KUMA версии 3.4 и выше автоматически добавляются следующие служебные поля расширенной схемы событий:
KL_EventRoute, типS– предназначено для хранения информации о маршруте события.Вы можете использовать это поле в нормализаторах, в качестве ключа или значения в активных листах, в правилах обогащения, в качестве поля запроса в правилах сбора и анализа данных, в корреляционных правилах. Вы не можете использовать это поле для детектирования источников событий.
- Следующие поля добавлены в корреляционное событие:
KL_CorrelationRulePriority, типN;KL_SourceAssetDisplayName, типS;KL_DestinationAssetDisplayName, типS;KL_DeviceAssetDisplayName, типS;KL_SourceAccountDisplayName, типS;KL_DestinationAccountDisplayName, типS.
Вы можете использовать эти служебные поля для поиска событий.
Вы не можете изменять, удалять, экспортировать и отключать служебные поля. Все поля расширенной схемы событий с префиксом KL_ являются служебными и управляются только c серверов "Лаборатории Касперского". Мы не рекомендуем использовать префикс KL_ в имени при добавлении новых полей расширенной схемы событий.
Добавление полей расширенной схемы событий
Пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Редактирование общих ресурсов могут добавлять новые поля расширенной схемы событий.
Чтобы добавить поле расширенной схемы событий:
- В Консоли KUMA в разделе Параметры → Поля расширенной схемы событий нажмите на кнопку Добавить в верхней части таблицы.
Откроется панель Создание расширенной схемы.
- Включите или выключите переключатель Статус, чтобы разрешить или запретить использовать это поле расширенной схемы событий в ресурсах.
По умолчанию переключатель включен. Выключенное поле все еще будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.
- В поле Тип выберите тип данных поля расширенной схемы событий.
- В поле Имя поля укажите имя поля расширенной схемы событий.
Имя поля расширенной схемы событий имеет следующие особенности:
- Должно быть уникальным в рамках инсталляции KUMA.
- Чувствительно к регистру. Например, имена
Имя_поляиимя_полясчитаются разными именами. - Допустимо использовать символы латиницы, кириллицы и числа. Не допускается использование пробелов и символов " ~ ` @ # $ % ^ & * ( ) + - [ ] { } | \ | / . " < > ; ! , : ? =.
- Если вы хотите использовать поля расширенной схемы событий для поиска источников событий, допустимо использовать только символы латиницы и числа.
- Максимальная длина – 128 символов.
- При необходимости в поле Описание укажите описание поля расширенной схемы событий.
Мы рекомендуем в описании указывать назначение добавляемого поля расширенной схемы событий. В описании допустимо использовать только символы Unicode. Максимальная длина – 256 символов.
- Нажмите на кнопку Сохранить.
Новое поле расширенной схемы событий будет добавлено и отобразится в начале таблицы. Будет создано событие аудита о создании поля расширенной схемы событий. Если вы включили поле, вы сможете использовать его в нормализаторах и при конфигурации ресурсов.
В началоИзменение полей расширенной схемы событий
Пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Редактирование общих ресурсов могут изменять существующие поля расширенной схемы событий.
Чтобы изменить поле расширенной схемы событий:
- В Консоли KUMA в разделе Параметры → Поля расширенной схемы событий нажмите на название поля, которое вы хотите изменить.
Откроется панель Редактирование расширенной схемы. В этой панели отображаются параметры выбранного поля, а также таблица Зависимости со списком ресурсов, макетов панели мониторинга, отчетов, пресетов и наборов полей для поиска источников событий, в которых используется это поле. Отображаются только те ресурсы, к тенантам которых у вас есть доступ. Если поле используется в тех ресурсах, к тенантам которых у вас нет доступа, эти ресурсы не будут отображаться в таблице. Ресурсы в таблице отсортированы по названию.
Вы можете нажать на название ресурса или сущности, чтобы перейти на его страницу (кроме ресурсов панели мониторинга, пресетов и сохраненных запросов пользователей).
- Внесите необходимые изменения в доступные параметры.
Вы можете изменить параметры Тип и Имя поля, только если у этого поля расширенной схемы событий нет зависимостей. Параметры Статус и Описание вы можете изменить для любого поля расширенной схемы событий. Поле со статусом Выключено все еще будет использоваться в уже работающих конфигурациях ресурсов, пока вы не удалите его из конфигурации вручную, а также будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.
Выключить использование поля расширенной схемы событий с помощью параметра Статус может только пользователь с ролью Главный администратор.
- Нажмите на кнопку Сохранить.
Поле расширенной схемы событий обновлено. Будет создано событие аудита об изменении поля.
В началоИмпорт и экспорт полей расширенной схемы событий
Вы можете добавить сразу несколько новых полей расширенной схемы событий, импортировав их из файла в формате JSON. Вы также можете экспортировать все существующие в KUMA поля расширенной схемы событий с информацией о них в файл, например, для передачи списка полей в другие инсталляции KUMA для поддержания работы ресурсов.
Импортировать и экспортировать поля расширенной схемы событий могут пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Редактирование общих ресурсов. Пользователи с ролью Чтение общих ресурсов могут только экспортировать поля расширенной схемы событий.
Чтобы импортировать поля расширенной схемы событий в KUMA из файла:
- В Консоли KUMA в разделе Параметры → Поля расширенной схемы событий нажмите на кнопку Импорт.
- В открывшемся окне выберите файл в формате JSON со списком объектов полей расширенной схемы событий.
Пример файла JSON:
[{"kind": "SA","name": "<fieldName1>","description": "<description1>","disabled": false},{"kind": "N","name": "<fieldName2>","description": "<description2>","disabled": false},....{"kind": "FA","name": "<fieldNameX>","description": "<descriptionX>","disabled": false}]При импорте полей из файла их имена проверяются на возможные конфликты внутри одного типа. Если в KUMA уже существует поле с таким названием и типом, такие поля из файла не будут импортированы.
Поля расширенной схемы событий будут импортированы из файла в KUMA. Будет создано событие аудита об импорте полей, а также на каждое добавляемое поле будет создано отдельное событие аудита.
Чтобы экспортировать поля расширенной схемы событий в файл:
- В Консоли KUMA перейдите в раздел Параметры → Поля расширенной схемы событий.
- Если вы хотите экспортировать конкретные поля расширенной схемы событий, выполните следующие действия:
- Установите флажки в первом столбце таблицы напротив необходимых полей.
Вы не можете выбрать служебные поля.
- Нажмите на кнопку Экспортировать выбранные в верхней части таблицы.
- Установите флажки в первом столбце таблицы напротив необходимых полей.
- Если вы хотите экспортировать все поля расширенной схемы событий, нажмите на кнопку Экспортировать все в верхней части таблицы.
Файл JSON со списком объектов полей расширенной схемы событий и информацией о них будет скачан.
В началоУдаление полей расширенной схемы событий
Удалять поля расширенной схемы событий может только пользователь с ролью Главный администратор.
Вы можете удалить только те поля расширенной схемы событий, которые не являются служебными, у которых установлен статус Выключено и которые не используются в ресурсах и других сущностях KUMA (нет зависимостей). Мы рекомендуем удалять поля расширенной схемы событий через некоторые время после того, как события, в которых использовалось поле, были гарантированно удалены из KUMA. После удаления поле не будет отображаться в подсказках событий.
Чтобы удалить поля расширенной схемы событий:
- В Консоли KUMA перейдите в раздел Параметры → Поля расширенной схемы событий.
- Установите флажки в первом столбце таблицы напротив одного или нескольких полей, которые вы хотите удалить.
Вы можете выбрать все поля, установив флажок в первом столбце заголовка таблицы.
- Нажмите на кнопку Удалить в верхней части таблицы.
Кнопка Удалить активна, только если все выбранные поля выключены и не имеют зависимостей. Если хотя бы одно поле включено или имеет зависимость, кнопка неактивна.
Если вы хотите удалить поле, которое используется хотя бы в одном ресурсе KUMA (имеет зависимость), но у вас нет доступа к его тенанту, кнопка Удалить будет активна при выборе этого поля, но при попытке удалить его отобразится ошибка.
Выбранные поля будут удалены. Будет создано событие аудита об удалении полей.
В началоИспользование полей расширенной схемы событий в нормализаторах
При использовании полей расширенной схемы событий сохраняется общее ограничение для максимального размера события обрабатываемого коллектором – 4 МБ. Информация о типах полей расширенной схемы событий приведена в таблице ниже (пункт 6 инструкции).
Использование значительного количества уникальных полей расширенной схемы событий может привести к снижению производительности системы, увеличению объема дискового пространства, необходимого для хранения событий и сложности восприятия данных.
Мы рекомендуем предварительно продумать и сформировать минимально необходимый набор дополнительных полей расширенной схемы событий и использовать его в нормализаторах и корреляции.
Чтобы использовать поля расширенной схемы событий:
- Откройте существующий или создайте новый нормализатор.
- Заполните основные параметры нормализатора.
- Нажмите на кнопку Добавить строку.
- В параметре Исходные данные укажите название исходного поля в сыром событии.
- В параметре Поле KUMA начните вводить имя поля расширенной схемы событий и выберите нужное поле в раскрывающемся списке.
Поля расширенной схемы событий в раскрывающемся списке имеют имя в формате
<тип>.<имя поля>. - Нажмите на кнопку Сохранить для сохранения нормализатора событий.
Нормализатор сохранен с выбранным полем расширенной схемы событий.
Если данные, находящиеся в полях сырого события, не соответствуют типу поля KUMA, в процессе нормализации событий значение не будет сохранено, если невозможно выполнить преобразование типов данных. Например, строка test не может быть помещена в числовое поле KUMA DeviceCustomNumber1.
С точки зрения нагрузки на сервер хранения при операциях поиска событий, подготовки отчетов и других операций с событиями в хранилище наиболее предпочтительными являются поля схемы событий KUMA, после чего идут поля расширенной схемы событий, затем поля Extra.