Перейти к содержанию

Отладка источников

Платформа Радар позволяет комплексно проверить работу правил разбора и обогащения, настроенных для источника событий.

Для выполнения проверки выполните следующие действия:

  1. Перейдите в раздел ИсточникиОтладка источников.

    Рисунок 1 – Раздел "Отладка источника"

  2. В поле Источник из выпадающего списка выберите источник. Будет проверяться работа всех правил разбора, настроенных для выбранного источника.

  3. В поле Сырое событие укажите пример сырого события, которое будет приходить от источника.
  4. Если во время проверки необходимо применить правила обогащения, то установите соответствующий флаг.
  5. Нажмите кнопку Тестировать.
  6. Механизм применит к событию от источника все настроенные для него правила разбора и обогащения.

Пример результата проведения тестирования приведен на рисунке 2.

Рисунок 2 – Пример результата проведения тестирования

Результат проведения тестирования содержит следующую информацию:

  • Информацию о состоянии разбора события. Может принимать следующие значения:

    • событие нормализовано – означает, что событие было успешно преобразовано на пары «Ключ-Значение», которые были успешно переданы в поля события (таксономию);
    • событие разобрано – означает, что событие было успешно преобразовано на пары «Ключ-Значение», но они не были переданы в таксономию;
    • событие не разобрано – означает, что событие не удалось преобразовать на пары «Ключ-Значение», используя текущие правила.

  • Блок Результат обработки содержит информацию о полученных парах "Ключ-Значение" в результате разбора события:

    • Таксономия – наименование поля события, в которое будет подставлено значение;
    • Тестовое значение – значение, которое будет подставлено в результате исполнения правил.

  • Блок Правила Разбора содержит список созданных правил разбора для выбранного источника:

    • Правило – наименование правила разбора;

      Примечание: "Жирным" шрифтом будет выделено сработавшее правило разбора.

    • Создано – дата и время создания правила разбора;

    • Обновлено – дата и время изменения информации о правиле разбора;
    • Состояние – текущее состояние правила разбора: включено, выключено.

  • Блок Правила Обогащения содержит список созданных правил обогащения для выбранного источника:

    • Правило – наименование правила обогащения

      Примечание: если правило обогащение попало в список, то считается что оно было применено.

    • Создано – дата и время создания правила обогащения;

    • Обновлено – дата и время изменения информации о правиле обогащения;
    • Состояние – текущее состояние правила обогащения: включено, выключено.

Результаты проверки события, которое было нормализовано, можно скопировать как JSON. Для этого нажмите кнопку .

Пример результатов тестирования, скопированных в json:

{"@timestamp":"2023-07-26T14:39:42+03:00","action":"последнее обновление доступа","event":{"application":{"name":"BackgroundJob"},"category":"Data_Update","input":{"source":"4008 1C-Enterprise-8"},"logsource":{"input":"smb","name":"1C:Enterprise 8","product":"ERP","vendor":"1С"},"session":{"id":"34"},"severity":7,"subcategory":"ОБОГАЩЕНИЕ if \"доступ\" in Data => \"access\", else \"other\"","uuid":"c9a7cb96-9c0c-43a5-9240-42e1e2902b9e"},"id":"c9a7cb96-9c0c-43a5-9240-42e1e2902b9e","initiator":{"command":{"executed":"Выполнить обновление"},"host":{"hostname":""},"user":{"id":"00000000-0000-0000-0000-000000000000","name":""}},"observer":{"host":{"hostname":"pgr-1c-00"}},"raw":"{\"Message\":\"<7> 7/26/2023 2:39:42 PM pgr-1c-00 {\\\"Event\\\":{\\\"Level\\\":\\\"Information\\\",\\\"Date\\\":\\\"2023-07-26T14:39:42\\\",\\\"ApplicationName\\\":\\\"BackgroundJob\\\",\\\"ApplicationPresentation\\\":\\\"Background job\\\",\\\"Event\\\":\\\"_$Data$_.Update\\\",\\\"EventPresentation\\\":\\\"Data. Change\\\",\\\"User\\\":\\\"00000000-0000-0000-0000-000000000000\\\",\\\"UserName\\\":\\\"\\\",\\\"Computer\\\":\\\"\\\",\\\"Metadata\\\":\\\"Константа.ПоследнееОбновлениеДоступа\\\",\\\"MetadataPresentation\\\":\\\"Constant. Последнее обновление доступа\\\",\\\"Comment\\\":null,\\\"Data\\\":\\\"something Команда: Выполнить обновление\\\",\\\"DataPresentation\\\":\\\"\\\",\\\"TransactionStatus\\\":\\\"Committed\\\",\\\"TransactionID\\\":\\\"7/26/2023 2:39:42 PM (2934007)\\\",\\\"Connection\\\":\\\"3\\\",\\\"Session\\\":\\\"34\\\",\\\"ServerName\\\":\\\"\\\",\\\"Port\\\":\\\"\\\",\\\"SyncPort\\\":\\\"0\\\"}}\",\"a\":\"a7e42e20-03a1-4998-a301-c97fa77cbe73\",\"a_c\":\"\",\"a_src_ip\":\"172.30.250.141\",\"a_src_o\":\"445\",\"a_src_r\":\"smb\",\"a_src_t\":[],\"a_ts\":\"2024-10-21T12:41:44.993Z\"}","reportchain":{"collector":{"host":{"ip":"172.30.250.141"},"timestamp":"2024-10-21T12:41:44+03:00"},"reciever":{"timestamp":"2024-12-17T18:23:42+03:00"}},"target":{"host":{"hostname":""},"socket":{"port":""},"task":{"id":2934007,"status":{"name":"Committed"}},"threat":{"id":"3"}}}