Перейти к содержанию

Пересылка событий

Общие данные

Примечание: для работы пересылки событий должна быть установлена версия платформы 3.7.3 и выше.

Если Платформа радар работает в режиме мультиарендности, то вы можете настроить пересылку событий с одного экземпляра платформы на другой.

При включенной пересылке все события будут отправляться на другой узел.

За пересылку отвечает фильтр потока событий, не связанный с правилом корреляции. Подобный фильтр создается в разделе КорреляторПересылка событий (см. рисунок 1).

Рисунок 1 -- Раздел "Пересылка событий"

Включение пересылки событий

  1. Перейдите в раздел КластерУправление конфигурациейTermite и установите параметр Использован сервис Termite в значение "false" (см. рисунок 2).

    Рисунок 2 -- Настройка сервиса "Termite"

  2. Перейдите в раздел КластерУправление конфигурациейFlowBalancerHead и в поле Ip LogProxy укажите IP-адрес узла, на который необходимо пересылать события (см. рисунок 3).

    Рисунок 3 -- Настройка сервиса "FlowBalancer"

  3. Нажмите кнопку Записать конфигурацию.

  4. Перейдите в раздел КорреляторПересылка событий и создайте фильтр для пересылки событий с необходимыми параметрами (см. раздел Создание фильтра для пересылки событий).

Проверка работы пересылки событий:

  1. Включите пересылку событий.

  2. Перейдите в раздел КорреляторПересылка событий и создайте фильтр со следующими параметрами (см. рисунок 4):

    • Функция сравнения -- "Проверить равенство выражений";
    • Тип выражения -- "Значение из события" и "Ручной ввод строки" соответственно;
    • Ключ -- "elastic_key";
    • Значение -- "normalized".

    Рисунок 4 -- Настройка фильтра для пересылки нормализованных событий

  3. Включите поток событий на основной узел.

  4. На удаленном (дополнительном) узле перейдите в раздел Просмотр событий и удостоверьтесь, что пришедшие нормализованные события изначально отправлялись на основной узел.

Создание фильтра для пересылки событий

  1. Перейдите в раздел Пересылка событий и нажмите кнопку . Откроется окно "Создание фильтра потока" (см. рисунок 5).

    Рисунок 5 -- Окно "Создание фильтра для пересылки событий"

  2. В поле Название укажите название фильтра и добавьте условие для сравнения нажав на кнопку + Сравнение. Откроется окно "Настроить условие" (см. рисунок 6).

    Рисунок 6 -- Окно "Настроить условие"

  3. Укажите в окне "Настроить условие" следующую информацию:

    • В поле Функция сравнения из выпадающего списка выберите функцию сравнения:

      • "Проверить равенство выражений";
      • "Проверить наличие в массиве";
      • "Поиск подстроки в строке".

    • Если необходимо выполнить операцию "отрицание", то установите соответствующий флаг;

    • В блоке Первое настройте первую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Значение из события";
      • в поле Ключ из выпадающего списка выберите поле нормализованного события, по которому будет происходить фильтрация.

    • В блоке Второе настройте вторую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Ручной ввод строки";
      • в поле Значение укажите значение по которому должно проверяться поле указанное в поле Ключ. Если выбрана функция "Проверить наличие в массиве", то укажите массив значений.

    • В блоке Результат проверьте правильность заданного выражения.

    • Нажмите кнопку Сохранить.

  4. Добавьте необходимое количество условий в фильтр для пересылки событий.

  5. Нажмите кнопку Сохранить.

Редактирование фильтра для пересылки событий

  1. Выберите из списка необходимый фильтр и нажмите кнопку Редактировать.

  2. Внесите необходимые изменения:

    • для добавления нового условия нажмите кнопку + Сравнение;
    • для изменения условия нажмите по строке выбранного условия;
    • для изменения порядка условий используйте кнопку ;
    • для удаления условия из фильтра используйте кнопку .

  3. Нажмите кнопку Сохранить.

Дублирование фильтра для пересылки событий

  1. Выберите из списка необходимый фильтр и нажмите кнопку Дублировать. Откроется окно "Дублировать фильтр потока событий" (см. рисунок 7).

    Рисунок 7 -- Окно "Дублировать фильтр потока событий"

  2. Укажите в окне наименование фильтра.

  3. Нажмите кнопку Дублировать.

Импорт фильтров

  1. Нажмите на кнопку и из выпадающего списка выберите пункт Импортировать.
  2. В открывшемся окне укажите путь к архиву с фильтрами.
  3. Нажмите кнопку Открыть.

Экспорт фильтров

  1. Нажмите на кнопку и из выпадающего списка выберите пункт Экспортировать все.
  2. Будет сформирован архив с фильтрами в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление фильтра

  1. Выберите из списка необходимый фильтр и в рабочей области нажмите кнопку Удалить.
  2. Подтвердите удаление в открывшемся окне.
  3. Фильтр будет удален из платформы.

Массовые действия фильтрами

Над фильтрами доступны следующие массовые действия:

  • Экспортировать - экспорт выбранных фильтров;
  • Удалить - удаление выбранных фильтров;
  • Удалить все - удаление всех фильтров.

Для выполнения массового действия выполните следующие шаги:

  1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора фильтров (см. рисунок 8).

    Рисунок 8 -- Массовые действия над фильтрами

  2. Выберите фильтры.

  3. Нажмите на соответствующую кнопку.
  4. Завершите действие в открывшемся окне.