Коррелятор. Общие данные
Примечание: начиная с версии
3.7.3
доступ к разделу будет возможен только в новом интерфейсе.
Коррелятор предназначен для выявления последовательностей в потоке событий, отфильтрованных с помощью фильтров потока событий и удовлетворяющих условиям, описанным в правиле корреляции.
Результатом работы коррелятора является так называемая "сработка" правила корреляции, на основании которой может быть создан инцидент и проведен анализ.
Условия для "сработок" правил корреляции задаются в правилах корреляции. В общем случае правила разрабатываются на скриптовом языке Lua, но Платформа Радар позволяет использовать визуальный конструктор для написания правил корреляции..
Правила делятся на два вида:
- линейные - используются для реагирования на определенный вид события в одном экземпляре;
- с группировкой событий - используется, когда необходимо провести корреляцию над сгруппированными по какому-либо принципу событиями.
Для обращения к справочникам используются табличные списки. Существуют следующие действия для работы с табличными списками::
- установить значение в табличном списке;
- удалить запись из табличного списка;
- очистка табличного списка.
Для настройки условий фильтраций, который будет применяться к потоку событий, используются фильтры потока событий.
Существует возможность передавать поток событий на другой узел (например, выполнена множественная установка платформы на разных узлах), то вы можете настроить пересылку событий.
Код правила корреляции может быть расширен с помощью макросов. Один и тот же макрос может быть использован во множестве правил.
Платформа Радар позволяет осуществлять ретроспективный анализ - проверку гипотез на основе исторических данных хранимых в системе. Для осуществления ретроспективного анализа можно использовать как существующие правила корреляции, так и вновь созданные.