Перейти к содержанию

Исходные ("сырые") события

Включение\выключение исходных ("сырых") событий

Общий алгоритм для включения\выключения исходных ("сырых") событий:

  1. Подключитесь по SSH к узлу обработки событий Платформы Радар (Worker).
  2. Выберите какие исходные ("сырые") события вы хотите включить: для всех источников или для определенного источника.
  3. Перейдите в настройку конфигурации Termite (подробнее в следующих подразделах) и внесите изменения.
  4. Сохраните конфигурацию и перезапустите сервис.

Для всех источников

Включение\выключение исходных ("сырых") событий для всех источников осуществляется в разделе Кластер - Управление конфигурацией - Termite - Output (см. рисунок 1).


Рисунок 1 -- Настройка отправки "сырых" событий

Перевод данного параметра в состояние 'false' приведет к добавлению "сырой" части событий для всех входящих событий.

Для определенного источника

Включение\выключение исходных ("сырых") событий для определенного источника осуществляется в файле /opt/pangeoradar/configs/termite/inputs-kafka.yaml путем добавления строки no_raw: true в блоке с источником, для которого требуется включение\выключение "сырой" части события.

Пример изменения в конфигурационном файле для источника Microsoft-Windows-Eventlog:

1514-Microsoft-Windows-Eventlog:
  input: kafka
  encoding: utf-8
  kafka-config:
    enable.ssl.certificate.verification: false
    security.protocol: SSL
    ssl.ca.location: /opt/pangeoradar/certs/pgr.crt
  message-type: microsoft_windows
  servers: ['<IP-адрес-Kafka>:9992']
  topics: ['1514-Microsoft-Windows-Eventlog']
  timezone: Europe/Moscow
  no_raw: true

Важно! При проведении "Синхронизации" источников, включение\выключение "сырой" части события для определенного источника необходимо производить повторно.

Просмотр сохраненных исходных ("сырых") событий

Для просмотра сохраненных исходных (сырых) событий необходимо выполнить следующие действия:

  1. В веб-интерфейс Платформы Радар зайдите в раздел "Просмотр событий".
  2. Задайте временной интервал в поле "Время".
  3. При необходимости введите или выберите в раскрывающемся списке нужный индекс в поле "Индекс".
  4. Обновите данные на экране согласно заданным параметрам, нажав Обновить данные .
  5. В левой части экрана в области "Доступные поля" найдите поле raw и нажмите Добавление параметра .

Поле "raw" добавится в область "Выбранные поля". В правой части экрана под графиком отобразятся сырые события в формате JSON (см. рисунок 2).

Агрегация
Рисунок 2 -- Отображение исходных (сырых) событий в разделе "Просмотр событий"