Пересылка событий

Общие данные

Если Платформа радар работает в режиме мультиарендности, то вы можете настроить пересылку событий с одного экземпляра платформы на другой.

При включенной пересылке все события будут отправляться на другой узел.

За пересылку отвечает фильтр потока событий, не связанный с правилом корреляции. Подобный фильтр создается в разделе Коррелятор → Пересылка событий (см. рисунок 1).

Рисунок 1 – Раздел "Пересылка событий"

В разделе отображается следующая информация:

Название фильтра – наименование фильтра для пересылки событий;
Создано – дата и время создания фильтра;
Обновлено – дата и время обновления фильтра.

Включение пересылки событий

В веб-интерфейсе платформы перейдите в раздел Администрирование → Кластер → вкладка Управление конфигурацией.
Включите пересылку событий. Для этого в древовидном списке параметров сервисов выберите FlowBalancer → Head и установите параметр Пересылать события в значение true, а в поле Ip LogProxy укажите IP-адрес узла, на который необходимо пересылать события (см. рисунок 2).

Рисунок 2 – Управление конфигурацией сервиса FlowBalancer
При необходимости переопределите следующие параметры: Порт LogProxy, ID события для нормализованных событий LogProxy, ID события для разобранных событий LogProxy. Подробнее о настройке сервиса Log-proxy см. раздел Настройка пересылки событий через сервис Log-proxy
После внесения изменений нажмите кнопку Записать конфигурацию.
Перейдите в раздел Коррелятор → Пересылка событий и создайте фильтр для пересылки событий с необходимыми параметрами (см. раздел Создание фильтра для пересылки событий).

Проверка работы пересылки событий:

Включите пересылку событий.
Перейдите в раздел Коррелятор → Пересылка событий и создайте фильтр со следующими параметрами (см. рисунок 3):
- Функция сравнения -- "Проверить равенство выражений";
- Тип выражения -- "Значение из события" и "Ручной ввод строки" соответственно;
- Ключ -- "elastic_key";
- Значение -- "normalized".
Рисунок 3 – Настройка фильтра для пересылки нормализованных событий
Включите поток событий на основной узел.
На удаленном (дополнительном) узле перейдите в раздел Просмотр событий и удостоверьтесь, что пришедшие нормализованные события изначально отправлялись на основной узел.

Просмотр фильтра для пересылки событий

Для просмотра фильтра для пересылки событий нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название фильтра. Откроется представление через боковую панель и форма просмотра выбранного фильтра (см. рисунок 4).

Рисунок 4 – Форма просмотра фильтра для пересылки событий

В боковой панели отображается следующая информация:

название фильтра для пересылки событий;
количество событий, попавших под условия фильтра;
количество отброшенных событий;
дата и время изменения информации о фильтре.

В рабочей области отображаются условия фильтрации. Условия могут принимать следующие значения:

равно - для условия выполняется функция проверки равенства выражений;
равно значению в массиве - для условия выполняется функция проверки наличия значения в массиве данных;
имеет подстроку - для условия выполняется функция поиска подстроки в строке;
оператор "не" означает что выполняется отрицание при выполнении функции: "не равно", "не равно значению в массиве", "не имеет подстроку".

Создание фильтра для пересылки событий

Начните процесс создания фильтра через универсальную таблицу или боковую панель. Откроется окно "Создание фильтра потока" (см. рисунок 5).

Рисунок 5 – Окно "Создание фильтра потока"
В поле Название укажите название фильтра и добавьте условие для сравнения нажав на кнопку + Сравнение. Откроется окно "Настроить условие" (см. рисунок 6).

Рисунок 6 – Окно "Настроить условие"
Укажите в окне "Настроить условие" следующую информацию:
- В поле Функция сравнения из выпадающего списка выберите функцию сравнения:
  - "Проверить равенство выражений";
  - "Проверить наличие в массиве";
  - "Поиск подстроки в строке".
- Если необходимо выполнить операцию "отрицание", то установите соответствующий флаг;
- В блоке Первое настройте первую часть выражения:
  - в поле Тип выражения выберите необходимый тип выражения, например "Значение из события";
  - в поле Ключ из выпадающего списка выберите поле нормализованного события, по которому будет происходить фильтрация.
- В блоке Второе настройте вторую часть выражения:
  - в поле Тип выражения выберите необходимый тип выражения, например "Ручной ввод строки";
  - в поле Значение укажите значение, по которому должно проверяться поле указанное в поле Ключ. Если выбрана функция "Проверить наличие в массиве", то укажите массив значений.
- В блоке Результат проверьте правильность заданного выражения.
- Нажмите кнопку Сохранить.
Добавьте необходимое количество условий в фильтр для пересылки событий.
Нажмите кнопку Сохранить.

Редактирование фильтра для пересылки событий

Начните процесс редактирования фильтра через универсальную таблицу или форму просмотра.
Внесите необходимые изменения:
- для добавления нового условия нажмите кнопку + Сравнение;
- для изменения условия нажмите по строке выбранного условия;
- для изменения порядка условий используйте кнопку ;
- для удаления условия из фильтра используйте кнопку .
Нажмите кнопку Сохранить.

Дублирование фильтра для пересылки событий

Откройте фильтр на просмотр и нажмите кнопку Дублировать. Откроется окно "Дублировать фильтр потока событий" (см. рисунок 7).

Рисунок 7 – Окно "Дублировать фильтр потока событий"
Укажите в окне наименование фильтра.
Нажмите кнопку Дублировать.

Импорт фильтров

Начните процесс импорта фильтров через универсальную таблицу или боковую панель.
В открывшемся окне укажите путь к архиву с фильтрами.
Нажмите кнопку Открыть.

Экспорт фильтров

Начните процесс экспорта фильтров через универсальную таблицу или боковую панель.
Будет сформирован архив с фильтрами в формате .zip.
Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление фильтра

Начините процесс удаления фильтра через универсальную таблицу или боковую панель.
Подтвердите удаление в открывшемся окне.
Фильтр для пересылки событий будет удален из платформы.