Модель
Модель данных Agent
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор агента сбора |
| created_at | string time |
Required | Дата создания в формате: date-time |
| updated_at | string time |
Required | Дата изменения в формате: date-time |
| NodeId | string |
Required | Идентификатор узла |
| Port | integer |
Required | Номер порта ЛК |
| IsSecure | boolean |
Required | Режим обращения к API агента, по http или https |
| User | string |
Required | Имя пользователя для аутентификации в API агента |
| Sig | string |
Required | Сигнатура для аутентификации в API агента |
| CredentialId | string/null |
Required | ID учетной записи с TLS-сертификатом для подключения к API агента |
| LicenseId | string |
Required | ID лицензии |
| version | string |
Required | Версия ЛК |
| config_hash | string |
Required | Хэш-сумма конфига Агента сбора (SHA-256) |
| config | object/null<Config> |
Required | Объект настроек Агента сбора |
| config_generated_at | string/null |
Required | Время генерации конфига в СМ |
| node | object<Node> |
Required | Узел на котором установлен Агент сбора |
Модель Config (объект настроек агента сбора)
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| cm_url | string |
Required | Адрес узла с ролью MASTER |
| api_key | string |
Required | API ключ для подключения к платформе |
| skip_verify | boolean |
Required | Пропускать проверку сертификата при подключении к CM |
| config_update_freq_sec | integer |
Required | Частота обновления конфигурации, в секундах. Значение по умолчанию: 30 |
| secret_file | string |
Required | Путь до файла секрета |
| secret_storage | string |
Required | Путь до хранилища секретов |
| disk_usage | object<Disk_usage> |
Required | Настройки мониторинга места на диске |
| controller | object<Controller> |
Required | Настройки основного модуля controller |
| journal | object<Journal> |
Required | Настройки журналирования агента сбора |
| api_server | object<Api_server> |
Required | Настройки API лог-коллектора |
| metric_server | object<Metric_server> |
Required | Настройки модуля metrics |
| inputs | object<Inputs> |
Required | Настройки профилей сбора |
| routes | object<Inputs> |
Required | Маршруты отправки в виде словаря, где - ключ — ID (номер) источника, - значение — массив ID профилей сбора |
Disk_usage
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| stop_limit_pct | integer |
Required | Максимальный процент диска занимаемый под кэш в случае проблем с передачей (значение занятого диска в "%", при достижении которого будет выполнена команда, указанная в поле disk_overflow_behavior). Значение по умолчанию: "95"; |
| restart_limit_pct | integer |
Required | Значение занятого диска в "%", при достижении которого будет восстановлена работа агента сбора. Значение по умолчанию: "80"; |
| disk_overflow_behavior | string |
Required | Поведение при достижении верхнего предела (значения, указанного в поле stop_limit_pct). Возможные действия: - turn_off – выключить агент сбора;- skip – включить пропуск событий, при котором агент сбора будет читать события, но не будет пересылать в платформу. |
| disk_check_freq_sec | integer |
Required | Интервал проверки места на диске (в секундах). Значение по умолчанию: "60" |
Controller
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| port | integer |
Required | Порт контроллера лог-коллектора для взаимодействия по GRPC. Значение по умолчанию: 48000 |
| inputs_grpc_port | integer |
Required | Порт модуля, на который приходят события от источника. Значение по умолчанию: 48006 |
| senders_grpc_port | integer |
Required | Порт модуля, с которого выполняется отправка событий в платформ. Значение по умолчанию: 48001 |
Journal
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| port | integer |
Required | Порт для подключения к модулю журналирования агента сбора. Значение по умолчанию: 48004 |
| log_level | string |
Required | Уровень журналирования работы контроллера: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| log_path | string |
Required | Путь до файла журнала |
| rotation_size | integer |
Required | Параметр, который определяет максимальный размер файла журнала в мегабайтах, при достижении которого будет выполнена ротация журналов |
| max_backups | integer |
Required | Порог количества файлов журнала, при достижении которого будут удалены устаревшие файлы журнала. Если параметр не указан, то файлы удаляться не будут |
| max_age | integer |
Required | Максимальное количество дней для хранения старых файлов журнала. Отсчет ведется по метке времени создания файла журнала. Если параметр не указан файлы удаляться не будут. |
Api_server
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| address | string |
Required | IP адрес лог-коллектора |
| port | integer |
Required | Порт, по которому выполняется API-взаимодействие. Значение по умолчанию: 48004 |
| read_timeout | integer |
Required | Максимальное время ожидания получения запроса в секундах |
| write_timeout | integer |
Required | Максимальное время ожидания отправки запроса в секундах |
| enable_tls | boolean |
Required | Опцию, которая позволяет включить использование протокола Transport Layer Security (TLS) для обеспечения безопасной передачи данных |
| cert_file | string |
Required | Путь до файла сертификата, используемого при TLS шифровании |
| key_file | string |
Required | Путь до файла ключей, используемых при TLS шифровании |
| cert_key_pass | string |
Required | Пароль для расшифровки файла ключей. Если поле не задано, считается, что файл не зашифрован |
| require_client_cert | boolean |
Required | Опция, включающая проверку клиентского сертификата |
| ca_file | string |
Required | Путь до корневого сертификата. Поле заполняется при включенной проверке клиентского сертификата |
| log_level | string |
Required | Уровень журналирования работы API сервера. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Metric_server
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| port | integer |
Required | Порт, по которому выполняется подключение к модулю сборщика метрик лог-коллектора. Значение по умолчанию: 48005 |
| log_level | string |
Required | Уровень журналирования работы сборщика метрик. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Inputs
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор профиля сбора |
| type | string |
Required | Тип профиля сбора. Допустимые значения в разделе Настройки в зависимости от типа профиля сбора |
> |
object |
Required | Настройки, в зависимости от указанного типа профиля сбора |
Настройки в зависимости от типа профиля сбора
Один из:
- opsec_lea_input
- external_command_input
- file_input
- wmi_input
- eventlog_input_local
- eventlog_input_remote
- odbc_input
- ssh_input
- smb_input
- ftp_input
- sftp_input
- tcp_receiver_input
- udp_input
- nf_inpu
- http_request_input
- http_collector_input
- snmp_trap_input
- mseven6_input
- kafka_input
Модуль opsec_lea_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| poll_interval | integer |
Required | Интервал между запуском запроса в секундах (default: 1) |
| auth | object<Auth> |
Required | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| log_filename | string |
Required | Название собираемого журнала |
| log_level | string |
Required | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Auth
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| auth_port | integer |
Required | Порт для прослушивания |
| auth_type | string |
Required | Аутентификация для OPSEC. Допустимые значения: - SSLCA - None |
| opsec_sic_name | string |
Required | укажите DN сервера Checkpoint |
| opsec_sslca_file | string |
Required | укажите путь к файлу, который содержит цифровой сертификат приложения OPSEC |
| opsec_entity_sic_name | string |
Required | укажите официальное имя приложения OPSEC, которое является полным именем приложения, определённым сервером |
| opsec_sic_policy_file | string |
Required | укажите путь к файлу политики SIC |
Модуль external_command_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| command | string |
Required | Исполняемая команда в формате bash/cmd для OC Linux/Windows соответственно |
| poll_interval | integer |
Required | Интервал между выполнением команд в секундах |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль file_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| files | Array<string> |
Required | Список файлов для чтения |
| file_type | string |
Required | Чтение и парсинг файлов определенного расширения. Допустимые значения: - RAW - JSON - XML - EVTX |
| using_regexp | boolean |
Optional | Использовать регулярное выражение для поиска файлов |
| regexp_starting_dir | string |
Optional | Начальный каталог для поиска файлов |
| regexp_expression | string |
Optional | Регулярное выражение для поиска файлов |
| poll_interval | integer |
Required | Интервал между запуском запроса в секундах |
| read_from_last | boolean |
Required | Чтение с последней сохраненной позиции |
| dir_check_interval | integer |
Optional | Интервал поиска файлов в секундах, в дереве каталогов |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| enable_watcher | boolean |
Optional | Опция, которая позволяет использовать мониторинг наименований всех файлов журналов с помощью file watchers |
| event_delimiter | string |
Optional | Разделитель событий в файле для многострочных событий. В поле указывается символ для разделения событий. Поддерживаются любые строки (один и несколько символов), также поддерживаются файлы в не utf-8 кодировке. Если поле не указано, то файлы будут читаться построчно. |
| no_delimiter | boolean |
Optional | Отсутствие разделителя событий в файле, используется для чтения событий в форматах JSON и XML без явного разделителя. Если указан разделитель, конец файла не считается концом события. Т.е. Если указан ';' прочитаны будут все события до последнего ';'. Остаток файла после него читаться не будет, т.к. событие получается неполное. Для того, чтобы этого избежать, в данном поле можно включить отсутствие разделителя. Опция применима только для чтения событий в форматах JSON и XML без явного разделителя. При всех других сочетаниях параметров файлы будут читаться как RAW построчно или с указанным разделителем. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
Модуль wmi_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP-адрес или доменное имя для подключения |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| logfiles | Array<string> |
Optional | Имена журналов для сбора. Допустимые значения: - Security - System - Application - Microsoft-Windows-PowerShell/Operational |
| batch_size | integer |
Optional | Количество событий, загружаемых за один запрос |
| poll_interval | integer |
Required | Интервал между запуском запроса в секундах |
| start_from_date | string |
Optional | Собирать события начиная с заданного момента |
| read_from_last | boolean |
Optional | Опция, которая позволяет забирать из журнала только новые события (чтение с последней сохраненной позиции) |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Модуль eventlog_input_local
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | Адрес сервера для подключения |
| channel | Array<string> |
Required | Имя канала, используется если не указан путь к файлу. Допустимые значения: - Application - System - Security - Setup - Microsoft-Windows-PowerShell/Operational |
| read_from_last | boolean |
Optional | Опция, которая позволяет забирать из журнала только новые события (чтение с последней сохраненной позиции) |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| auth{domain} | string |
Optional | Домен |
| auth_method | string |
Optional | Метод аутентификации. Допустимые значения: - Negotiate - Kerberos - NTLM |
| query | string |
Optional | Запрос для фильтрации событий для чтения с помощью выражения XPath. Если XPath содержит более 20 параметров, следует использовать структурированный XML запрос. Чтобы получить все параметры укажите ”*” |
| batch_size | integer |
Optional | Размер запроса |
| timeout | integer |
Optional | Таймаут запроса в секундах |
| poll_interval | integer |
Optional | Интервал между запуском запроса в секундах |
| resolve_sid | boolean |
Optional | Опция, которая позволяет конвертировать значения SID в имена пользователей |
| worker_count | integer |
Optional | Количество параллельных воркеров |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Модуль eventlog_input_remote
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | Адрес сервера для подключения |
| channel | Array<string> |
Required | Имя канала, используется если не указан путь к файлу. Допустимые значения: - Application - System - Security - Setup - Microsoft-Windows-PowerShell/Operational |
| read_from_last | boolean |
Optional | Опция, которая позволяет забирать из журнала только новые события (чтение с последней сохраненной позиции) |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| auth{domain} | string |
Optional | Домен |
| auth_method | string |
Optional | Метод аутентификации. Допустимые значения: - Negotiate - Kerberos - NTLM |
| query | string |
Optional | Запрос для фильтрации событий для чтения с помощью выражения XPath. Если XPath содержит более 20 параметров, следует использовать структурированный XML запрос. Чтобы получить все параметры укажите ”*” |
| batch_size | integer |
Optional | Размер запроса |
| timeout | integer |
Optional | Таймаут запроса в секундах |
| poll_interval | integer |
Optional | Интервал между запуском запроса в секундах |
| resolve_sid | boolean |
Optional | Опция, которая позволяет конвертировать значения SID в имена пользователей |
| worker_count | integer |
Optional | Количество параллельных воркеров |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Модуль odbc_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| connection_string | object |
Required | Строка подключения к БД |
| connection_string{address} | string |
Required | Адрес подключения |
| connection_string{port} | integer |
Required | Порт подключения |
| connection_string{login} | string |
Required | Логин для подключения |
| connection_string{password} | string |
Required | Пароль |
| connection_string{database} | string |
Required | Драйвер для подключения к БД, например MySQL ODBC 8.0 Driver; |
| connection_params | string |
Optional | Дополнительные параметры подключения |
| sql | string |
Required | SQL запрос к базе данных |
| bookmark_field | string |
Поле, которое будет использоваться как закладка для сохранения позиции. Поле должно быть указано в операторе SELECT sql-запроса | |
| poll_interval | integer |
Required | Интервал, через который будет выполняться проверка новых записей в журнале. Значение указывается секундах |
| read_from_last | boolean |
Required | Опция, которая позволяет продолжить чтение журнала с последней сохраненной позиции после перезапуска |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
Модуль ssh_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для подключения |
| rsa | string |
Required | Путь к файлу с ssh ключами |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| command | string |
Required | Команда для выполнения по ssh |
| ticker | integer |
Optional | Интервал между выполнением команд(в секундах) |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль smb_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | P адрес или доменное имя для подключения к SMB серверу |
| port | integer |
Required | Порт для прослушивания |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| auth{domain} | string |
Optional | Домен |
| share | integer |
Required | Название журнала для чтения Допустимые значения: - Application - System - Security - Setup - Microsoft-Windows-PowerShell/Operational |
| files | Array<string> |
Optional | Список файлов для чтения |
| file_type | string |
Required | Чтение и парсинг файлов определенного расширения. Допустимые значения: - RAW - JSON - XML - EVTX |
| read_from_last | boolean |
Optional | Опция, которая позволяет продолжить чтение журнала с последней сохраненной позиции после перезапуска |
| using_regexp | boolean |
Optional | Использовать регулярное выражение для поиска файлов |
| batch_size | integer |
Optional | Размер запроса |
| poll_interval | integer |
Required | Интервал между запуском запроса в секундах |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| event_delimiter | string |
Optional | Разделитель событий в файле для многострочных событий. В поле указывается символ для разделения событий. Поддерживаются любые строки (один и несколько символов), также поддерживаются файлы в не utf-8 кодировке. Если поле не указано, то файлы будут читаться построчно. |
| no_delimiter | boolean |
Optional | Отсутствие разделителя событий в файле, используется для чтения событий в форматах JSON и XML без явного разделителя. Если указан разделитель, конец файла не считается концом события. Т.е. Если указан ';' прочитаны будут все события до последнего ';'. Остаток файла после него читаться не будет, т.к. событие получается неполное. Для того, чтобы этого избежать, в данном поле можно включить отсутствие разделителя. Опция применима только для чтения событий в форматах JSON и XML без явного разделителя. При всех других сочетаниях параметров файлы будут читаться как RAW построчно или с указанным разделителем. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль ftp_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | P адрес или доменное имя для подключения к FTP серверу |
| port | integer |
Required | Порт для подключения |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| files | Array<string> |
Optional | Список файлов для чтения |
| file_type | string |
Required | Чтение и парсинг файлов определенного расширения. Допустимые значения: - RAW - JSON - XML - EVTX |
| using_regexp | boolean |
Optional | Использовать регулярное выражение для поиска файлов |
| poll_interval | integer |
Required | Интервал между запуском запроса в секундах |
| read_from_last | boolean |
Optional | Опция, которая позволяет продолжить чтение журнала с последней сохраненной позиции после перезапуска |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| event_delimiter | string |
Optional | Разделитель событий в файле для многострочных событий. В поле указывается символ для разделения событий. Поддерживаются любые строки (один и несколько символов), также поддерживаются файлы в не utf-8 кодировке. Если поле не указано, то файлы будут читаться построчно. |
| no_delimiter | boolean |
Optional | Отсутствие разделителя событий в файле, используется для чтения событий в форматах JSON и XML без явного разделителя. Если указан разделитель, конец файла не считается концом события. Т.е. Если указан ';' прочитаны будут все события до последнего ';'. Остаток файла после него читаться не будет, т.к. событие получается неполное. Для того, чтобы этого избежать, в данном поле можно включить отсутствие разделителя. Опция применима только для чтения событий в форматах JSON и XML без явного разделителя. При всех других сочетаниях параметров файлы будут читаться как RAW построчно или с указанным разделителем. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль sftp_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | P адрес или доменное имя для подключения к SFTP серверу |
| port | integer |
Required | Порт для подключения |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| files | Array<string> |
Optional | Список файлов для чтения |
| file_type | string |
Required | Чтение и парсинг файлов определенного расширения. Допустимые значения: - RAW - JSON - XML - EVTX |
| using_regexp | boolean |
Optional | Использовать регулярное выражение для поиска файлов |
| poll_interval | integer |
Required | Интервал между запуском запроса в секундах |
| read_from_last | boolean |
Optional | Опция, которая позволяет продолжить чтение журнала с последней сохраненной позиции после перезапуска |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| event_delimiter | string |
Optional | Разделитель событий в файле для многострочных событий. В поле указывается символ для разделения событий. Поддерживаются любые строки (один и несколько символов), также поддерживаются файлы в не utf-8 кодировке. Если поле не указано, то файлы будут читаться построчно. |
| no_delimiter | boolean |
Optional | Отсутствие разделителя событий в файле, используется для чтения событий в форматах JSON и XML без явного разделителя. Если указан разделитель, конец файла не считается концом события. Т.е. Если указан ';' прочитаны будут все события до последнего ';'. Остаток файла после него читаться не будет, т.к. событие получается неполное. Для того, чтобы этого избежать, в данном поле можно включить отсутствие разделителя. Опция применима только для чтения событий в форматах JSON и XML без явного разделителя. При всех других сочетаниях параметров файлы будут читаться как RAW построчно или с указанным разделителем. |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль tcp_receiver_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для прослушивания |
| buf_size | integer |
Optional | Размер буфера сообщений. Значение указывается в байтах |
| enable_tls | boolean |
Optional | Включение/отключение TLS-соединения на сервере |
| compression_enabled | boolean |
Optional | Опция, которая включает распаковку тела запроса. Ожидается, что тело запроса упаковано в архив |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль udp_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для прослушивания |
| sock_buf_size | integer |
Optional | Размер буфера сообщений. Значение указывается в байтах |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль nf_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для прослушивания |
| sock_buf_size | integer |
Optional | Размер буфера сообщений. Значение указывается в байтах |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
Модуль http_request_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для подключения |
| enable_tls | boolean |
Optional | Включение/отключение TLS-соединения на сервере |
| compression_enabled | boolean |
Optional | Включение/отключение распаковки тела запроса |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль http_collector_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для подключения |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{basic_auth_user} | string |
Optional | Пользователь |
| auth{basic_auth_password} | string |
Optional | Пароль |
| enable_tls | boolean |
Optional | Включение/отключение TLS-соединения на сервере |
| file | string |
Required | Имя файла для получения по http |
| read_from_last | boolean |
Optional | Чтение с последней сохраненной позиции |
| poll_interval | integer |
Optional | Интервал между http-вызовами в секундах |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль snmp_trap_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | IP адрес или доменное имя для подключения |
| port | integer |
Required | Порт для подключения |
| allow_authenticated_only | boolean |
Optional | Принимать только аутентифицированные SNMP v3 Traps |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{auth_proto} | string |
Optional | Метод аутентификации, при включении становятся доступными для заполнения параметры authentication_passphrase. Допустимые значения: - MD5 - SHA - None |
| auth{authentication_passphrase} | string |
Optional | Пользователь |
| auth{encrypt_proto} | string |
Optional | Метод шифрования. Допустимые значения: - DES - None |
| auth{user_name} | string |
Optional | Имя SNMP пользователя |
| auth{authoritative_engine_id} | string |
Optional | Используется в SNMPv3 для идентификации сущностей |
| mib_dirs | Array<string> |
Optional | Список директорий с .mib файлами для конвертации oid. Если не указаны, oid будут передаваться в сыром виде |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
| format | string |
Optional | Формат сохранения событий. Доступны следующие значения: - raw – данные сохраняются в том виде, в котором пришли; - json – пришедшие данные обогащаются дополнительной технической информацией и упаковываются в пакет json. |
Модуль mseven6_input
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| host | string |
Required | |
| auth | object |
Optional | Данные для авторизации на удаленной системе, выбираются парой из хранилища секретов |
| auth{user} | string |
Optional | Пользователь |
| auth{password} | string |
Optional | Пароль |
| auth{domain} | string |
Optional | Домен |
| channel | Array<string> |
Required | Имена журналов для сбора. Допустимые значения: - Application - System - Security - Setup - Microsoft-Windows-PowerShell/Operational |
| query | string |
Optional | Запрос описывающий тип получаемого события. есть возможность указать XPath 1.0 или структурированный XML запрос. Если XPath содержит более 20 параметров, следует использовать структурированный XML запрос. Чтобы получить все параметры укажите ”*” |
| read_from_last | boolean |
Optional | Чтение с последней сохраненной позиции |
| batch_size | integer |
Optional | Размер запроса |
| poll_interval | integer |
Optional | Интервал между запуском запроса в секундах |
| python_service_port | integer |
Optional | Порт для взаимодействия с python сервисом |
| disable_rendering | boolean |
Optional | Включение/Отключение рендеринга полей LevelText, OpcodeText, TaskText |
| read_from_last_default_newest | boolean |
Optional | Опция, которая позволяет забирать из журнала только новые события |
| switch_count | integer |
Optional | Число событий для переключения канала. В случае, если указано несколько источников или каналов, опция считает число событий и при достижении указанного значения, переключается на чтение следующего источника |
| request_interval_msec | integer |
Optional | Интервал между запросами в миллисекундах- это интервал, через который файл (или канал) проверяется на наличие новых записей лога; |
| render_cache_ttl | integer |
Optional | Интервал очистки кэша рендеринга в секундах |
| python_path | string |
Optional | Путь до исполняемого файла python из mseven6venv |
| filters | object<Filter> |
В блоке указываются фильтры по полям событий с помощью регулярных выражений | |
| log_level | string |
Optional | Уровень журналирования модуля. Возможные значения: - ERROR – записывать сообщения об ошибках; - WARN – записывать предупреждающие сообщения, которые указывают на потенциальные проблемы или ситуации, которые могут привести к ошибкам в будущем; - INFO – записывать информационные сообщения, которые сообщают о нормальном функционировании приложения; - DEBUG – записывать отладочную информацию. |
| encoding | object |
Optional | Настройки кодировки |
| encoding{change_to_utf8} | boolean |
Optional | Использовать кодировку UTF-8 |
| encoding{original_encoding} | string |
Optional | Кодировка оригинала |
Filter
В блоке указываются фильтры по полям событий с помощью регулярных выражений. В данном блоке можно указать для полей следующие типы фильтров:
- Фильтры по времени, пример:
2025-03-13 10:02:55.9689259 +0000 UTC. Используется для следующих полей:Created;EventTime;
- Числовые фильтры, пример:
^([5-9]\d|\d{3,})$. Используется для следующих полей:EventID;Qualifiers;RecordID;ExecutionProcessID;ThreadID;Version.
- Строковые фильтры, пример:
DESKTOP-IDCMV6G. Используется для следующих полей:Hostname;Msg.
- Возможные значения:
- Пример для поля
LevelText:Information,Warning,Error; - Пример для поля
TaskText:Service,State,Event; - Пример для поля
OpcodeText:ServiceShutdown; - Пример для поля
ChannelText:System; - Пример для поля
ProviderTex:System.
- Пример для поля
Модель Node (узел на котором установлен агент сбора)
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор узла |
| created_at | string |
Required | Дата создания в формате: date-time |
| updated_at | string |
Required | Дата изменения в формате: date-time |
| Ip | string |
Required | IP-адрес узла |
| Name | string |
Required | Наименование узла |
| Login | string |
Required | Логин для подключения по ssh |
| Pass | string |
Required | Пароль для подключения по ssh |
| Port | integer |
Required | Порт для подключения по ssh |
AgentStatus
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | ID записи |
| module_id | string |
Required | ID модуля |
| agent_id | string |
Required | ID Агента сбора |
| source_id | string |
Required | ID источника |
| input | integer |
Required | Общее количество полученых событий |
| output | integer |
Required | Общее количество отправленых событий |
| state | string |
Required | Статус профиля сбора |
| connection_state | string |
Required | Статус подключения к источнику |
| timestamp | string |
Required | Время обновления метрики в БД |
| last_input | string |
Required | Дата получения последнего события |
| last_output | string |
Required | Дата отправки последнего события |
| recv_series | Array<object> |
Required | Рейт за 5 минут счётчика полученных событий из прометеуса за 24 часа |
| recv_series{} | number |
Required | Счетчик принятых событий в момент времени |
| recv_series | number |
Required | Время получения метрики |
| sent_series | Array<object> |
Required | Рейт за 5 минут счётчика отправленных событий из прометеуса за 24 часа |
| sent_series | number |
Required | Счетчик отправленных событий в момент времени |
| sent_series | number |
Required | Время получения метрики |
AgentModuleMeta
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор профиля сбора |
| created_at | string |
Required | Дата создания в формате: date-time |
| updated_at | string |
Required | Дата изменения в формате: date-time |
| name | string |
Required | Название профиля сбора |
| min_version | string |
Required | Минимальная версия агента для работы с данным профилем |
| max_version | string |
Required | Максимальная версия агента для работы с данным профилем |
AgentParamMeta
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| id | string |
Required | Идентификатор объекта параметров агента сбора |
| created_at | string |
Required | Дата создания в формате: date-time |
| updated_at | string |
Required | Дата изменения в формате: date-time |
| ModuleName | string |
Required | Название модуля |
| Name | string |
Required | Название параметра с учётом вложенности по структуре конфигурации |
| Type | string |
Required | Тип значения параметра. Допустимые значения: - boolean - integer - string - number - array - group |
| UI | object<UI> |
Required | Дополнительные настройки для отображения в UI |
| ReadOnly | boolean |
Required | Допускается ли редактирование этого значения обычным пользователем |
| MinVersion | string |
Required | Минимальная версия агента поддерживающая параметр в текущей вариации |
| MaxVersion | string |
Required | Максримальная версия агента поддерживающая параметр в текущей вариации |
| Required | boolean |
Required | Является ли параметр обязательным к заполнению |
| DefaultValue | any |
Required | Значение по умолчанию |
| DefaultValueWindows | any |
Required | Значение по умолчанию для агентов на Windows |
UI
| Параметр | Тип | Обязательность | Описание |
|---|---|---|---|
| Format | string |
Optional | Формат валидации для поля с типом string или array. Допустимые значения: uri ip time stamp string path |
| Title | string |
Required | Название поля |
| Description | string |
Optional | Описание |
| AcceptedValues | Array<object> |
Optional | Допустимые значения |
| AcceptedValues{value} | string |
Optional | Значение для поля типа select |
| AcceptedValues{title} | string |
Optional | Название значения (для select) |
| MinValue | integer |
Optional | Минимальное значение Опционально, для полей с типом integer |
| MaxValue | integer |
Optional | Максимальное значение Опционально, для полей с типом integer |
| Example | string |
Optional | Пример, place-holder |
| Group | boolean |
Required | Является ли параметр группой |