О версии 2.2.3
Технические особенности
Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.
Ошибка сервиса loki-gateway
В системе версии ниже 2.0.0 может возникать ошибка при просмотре логов коллектора в интерфейсе:
Не удалось получить логи коллектора. connect ECONNREFUSED <...>
Причина — ошибка конфигурации сервиса loki-gateway. В системе версии 2.0.0 и выше эта проблема решена, но при обновлении с более старой версии проблема может воспроизводиться, поэтому перед обновлением следует устранить ее вручную.
Алгоритм решения данной проблемы приведен в разделе Устранение проблем.
Ограничение количества групп на виджетах
Начиная с версии 2.2.0 при использовании группировки на виджетах в дашбордах отображаются только первые 20 групп. Это ограничение введено для обеспечения производительности системы в случае, если в каждую из групп входит большое число значений.
Новые возможности
Лицензия
В настройки системы добавлен раздел Лицензия. Он позволяет активировать лицензию, загрузив ее файл, а также отслеживать параметры активированной лицензии, в том числе срок действия и ограничения на использование ресурсов системы.
Предусмотрено отображение оповещений в случаях, если активированная лицензия отсутствует, истекает в ближайшие 30 дней или истекла, а также если превышены ограничения лицензии — количество событий в секунду (EPS) или объем входящего трафика.
Управление доступом к событиям
В инструменты системы добавлен раздел Политики управления доступом к событиям, позволяющий настраивать политики доступа пользователей к событиям в хранилищах на основе их ролей.
Политика управления доступом к событиям — это правило, на основе которого пользователи, имеющие заданные роли, будут иметь доступ только к определенным событиям в хранилище. Правило формулируется как условие фильтрации на языке RQL, которое будет неявно добавляться в секцию WHERE поисковых запросов пользователей.
Одна политика может распространяться на несколько ролей и хранилищ событий и содержать несколько правил.
Конструктор правил корреляции: лимит генерации событий
На вкладку Общая информация конструктора добавлена возможность задать максимальное количество корреляционных окон и максимальную интенсивность генерации корреляционных событий. Система будет автоматически отключать правила корреляции, превысившие указанные пределы.
Конструктор правил корреляции: операторы сравнения строк
На вкладку Фильтры событий конструктора добавлены операторы сравнения:
-
In— поиск подстрок; -
Like— поиск строк по шаблону; -
=null— пустое поле; -
!=null— непустое поле.
Оповещения: ответственный
В таблицу раздела Оповещения добавлен столбец Ответственный, по которому можно производить фильтрацию. Опция фильтра Мои оповещения позволяет выбрать только оповещения, назначенные текущему пользователю.
Оповещения: массовые операции
В таблицу раздела Оповещения добавлена возможность выделять одновременно несколько оповещений и выполнять массовое изменение их параметров.
Для массового изменения доступны следующие параметры:
-
Уровень угрозы;
-
Статус;
-
Ответственный.
Улучшения и доработки
Поиск
-
Периоды на графике результатов: график распределения результатов поиска по времени разбивается на периоды, длительность которых зависит от общего периода поиска. При наведении курсора на определенный период отображаются дата и время его начала и окончания, а также количество событий или записей в этом периоде.
-
Результаты поиска по умолчанию: если в настройках отображения таблицы результатов поиска не выбран ни один столбец, то в таблице отобразятся два столбца — дата и время получения события коллектором, а также все заполненные поля найденного события в формате
<название_поля> : <значение_поля>.
Отчеты
-
Формат таблиц: таблицы внутри отчетов в формате PDF могут содержать до восьми столбцов. Если столбцов больше четырех, лист с таблицей разворачивается горизонтально.
Модели событий
-
Поле статуса события: в универсальную модель событий добавлено поле
status— строка, характеризующая статус события или действия из источника.
Настройка ClickHouse
-
Ограничение на ошибки при вставке: в настройки ClickHouse добавлены параметры для ограничения количества ошибочных строк при запросах на вставку.
Пользовательский интерфейс и опыт
-
Отображение подписей оси X на графиках: если для диаграммы типа График, Столбчатая диаграмма или Столбчатая диаграмма с накоплением задан лимит отображения не более 6 строк, то на оси X будут отображаться все подписи, иначе — только часть подписей с равномерными пропусками во избежание наложения текста.
-
Нарушение политики аудита: в разделе Аудит источников доработано описание статуса для точек входа, на которые событий поступает меньше, чем определено их политикой аудита.
-
Конвейеры правил экспертизы: в карточки правил экспертизы добавлена вкладка Конвейеры, в которой можно просмотреть, в каких конвейерах используется правило, а также перейти к их конфигурации.
-
Сброс метрик элементов конвейера: добавлена возможность сбрасывать метрики в окне текущей конфигурации конвейера. Также метрики элементов конвейера сбрасываются автоматически при обновлении конфигурации конвейера.
-
График входящего трафика коллектора: в карточку коллектора добавлен график объема входящего трафика за последние 30 минут.
Исправления проблем
-
Исправления в версии 2.2.1:
-
Устранена проблема, из-за которой сеанс пользователя прекращался при попытке открыть страницу системы в новой вкладке браузера через 5 минут после авторизации.
-
Исправлена проблема, при которой система не учитывала выбранный часовой пояс пользователя.
-
-
Исправления в версии 2.2.2:
-
Исправлена проблема с образом коллектора, из-за которой могли не запускаться коллекторы, использующие точку входа NATS JetStream (в том числе коллектор аудита).
-
-
Исправления в версии 2.2.3:
-
Изменена директория для скачивания файлов пользовательских драйверов в коллекторе: теперь они сохраняются в
app/java/, а не вapp/java/<ID конвейера>. Это устраняет возникавшие ранее ошибки, когда коллектор мог не обнаружить пользовательский драйвер.
-
