Перейти к содержанию

Работа с пассивными источниками событий

Все действия по управлению пассивными источниками в веб-интерфейсе Платформы Радар выполняются в разделе «Администрирование» -> «Источники» -> «Управление источниками» (см. рисунок 1).

Управление источниками

Рисунок 1 -- Управление источниками

ВНИМАНИЕ! За сбор и отправку событий отвечает служба rsyslog, расположенная на мастер-ноде, в случае установки на один сервер, или на ноде балансировщика, в случае распределенной установки. Убедитесь, что эта служба включена, в противном случае события в Платформу Радар поступать не будут.

Включение/выключение пассивных источников и их синхронизация

Для включения/выключения источников необходимо выполнить следующие действия:

  1. Выбрать источник и проверить его текущий статус работы в столбце ВКЛЮЧЕН: синий фон кнопки-переключателя и надпись Активно показывают, что источник включен, белый фон и надпись Не активно, что выключен (см. рисунок 2).

    Включение источника

    Рисунок 2 -- Статус работы источника

  2. Включить/выключить все необходимые источники. Включение и выключение источника осуществляется нажатием на кнопку-переключатель.

  3. Выполнить синхронизацию источников, чтобы внесенные изменения вступили в силу, нажав кнопку Синхронизировать (см. рисунок 3).

Важно! Необходимо синхронизировать источники после каждого изменения

Кнопка для синхронизации и добавления нового источника

Рисунок 3 -- Кнопки управления источниками

После выполнения вышеперечисленных действий Платформа Радар готова к приему событий от включенных источников в пассивном режиме.

Экспорт, импорт и удаление источника

Кнопки управления источниками (см. рисунок 3) позволяют:

  • Экспортировать выбранные источники в файл архива формата ZIP.
  • Импортировать источники из файла архива формата ZIP.
  • Удалять выбранные источники.

Важно! Необходимо синхронизировать источники после каждого изменения

Заведение нового пассивного источника

Для заведения нового пассивного источника:

  1. Нажать кнопку Добавить новый источник в верхней части страницы «Управление источниками» (см. рисунки 1,3).

  2. Заполнить форму (см. рисунок 4). Расшифровка полей формы дана в следующем разделе «Описание полей формы».

  3. При необходимости проверить работу выбранных парсера и нормализатора в правой части формы, подставив сырое событие от источника и запустив проверку. Результаты проверки появятся во всплывающем окне.

  4. Сохранить данные, нажав кнопку Сохранить в нижней левой части формы. Для выхода из формы без сохранения данных нажмите кнопку Отменить.

  5. Включить новый источник.

  6. Синхронизировать источники.

Новый источник

Рисунок 4 -- Форма добавления нового типа источника

Описание полей формы создания/редактирования пассивного источника

Название — наименование типа источника (пример: «Linux Debian»)
Tип — тип источника (пример: «Linux»)
Вендор — производитель системы, которая выступает в качестве источника (пример: «Debian»)
Порт — необходимо указать один из свободных портов, который будет использоваться для отправки события с нового источника (+- диапазон 6000-8000)

Область Правила для rsyslog:

  • Поле Протокол — протокол, по которому будут приниматься события. Возможные форматы:

    • TCP,
    • PTCP (Plain TCP),
    • UDP.

  • Поле Формат — правила приема и обработки события. Возможные форматы:

    • RAW — не изменять входящее событие
    • RAW-JSON — обогатить сообщение дополнительной технической информацией и упаковать в пакет json
    • JSON-JSON — обогатить существующую структуру json дополнительными полями с технической информацией

Область Правила для termite:

  • Тип сообщения — указывается тип события из правила нормализации.
  • Парсер — указывается правило разбора данного типа событий.
  • Нормализатор — указывается правило нормализации.
  • Часовой пояс — указывается необходимая временная зона (пример: «Europe/Moscow»).
  • Кодировка событий — указывается необходимая кодировка (пример: «utf-8»).
  • Агрегация — позволяет выполнить агрегацию однотипных событий. Необходимо указать поля, которые могут меняться. Расшифровка полей для агрегации дана в разделе «Описание полей нормализации».

Изменение параметров пассивного источника

Для изменения данных об источнике необходимо выполнить следующие действия:

  1. Нажать кнопку редактирования Кнопка для редактированияв строке выбранного источника.

  2. Внести необходимые изменения в форму редактирования источника (см. рисунок 5).

  3. Сохранить данные, нажав кнопку Сохранить в нижней левой части формы. Для выхода из формы без сохранения данных нажать кнопку Отменить.

  4. Синхронизировать источники нажав кнопку Синхронизировать на вкладке "Источники".

Форма изменения

Рисунок 5 -- Форма редактирования типа источника