Работа с коллекторами

Данный раздел описывает процесс работы с коллекторами в системе R-Vision SIEM. Работа осуществляется в разделе Ресурсы → Коллекторы веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О коллекторах

Коллектор — это компонент системы, который обеспечивает сбор событий из источников, их обработку и дальнейшую отправку на хранение и/или во внешние системы. События поступают на коллектор через установленные на нем конвейеры, посредством которых они могут быть обработаны.

Интерфейс раздела

Панель инструментов раздела включает в себя следующие компоненты:

  • Кнопка Создать (plus) позволяет создать новый коллектор.

  • Поле Поиск предназначено для быстрого поиска коллекторов в отображаемом списке по названию. Выпадающий список Статус позволяет настроить отображение списка коллекторов в соответствии с выбранным статусом.

  • Кнопки Экспорт (export) и Импорт (import) позволяют выгружать существующие коллекторы из системы и загружать в систему коллекторы извне.

В рабочей области отображается таблица имеющихся коллекторов. Колонки таблицы представлены следующим образом:

  • Название — название коллектора, используемое для его идентификации.

  • Статус — текущий статус коллектора (Включен/Выключен).

  • Конвейеров — количество конвейеров в коллекторе.

  • Дата создания — дата и время создания коллектора.

  • Дата изменения — дата и время последнего изменения коллектора.

  • Описание — описание коллектора.

При выборе конкретного коллектора в правой части рабочей области отображается его карточка с детальной информацией.

В верхней части карточки имеется иконка (more vertical). При нажатии на эту иконку открывается выпадающее меню, предлагающее опции для изменения и удаления коллектора.

Карточка коллектора содержит следующие вкладки:

  1. Информация — содержит секции с общей информацией о коллекторе и настройками логирования.

    Вкладка Информация одержит следующие поля:

    • CPU — количество ядер и уровень загруженности процессора сервиса.

    • RAM — объем и уровень загруженности оперативной памяти сервиса.

    • HDD — объем и уровень загруженности жесткого диска сервиса.

    • ID — уникальный идентификационный код коллектора, генерируемый автоматически при его создании.

    • Название — системное имя коллектора, используемое для его идентификации.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится коллектор.

    • Статус — текущий статус коллектора (Включен/Выключен).

    • IP адрес — IP-адрес, с которым связан коллектор.

    • Имя хоста — имя хоста, с которым связан коллектор.

    • Описание — краткое описание функциональности коллектора.

    • Конвейеров — количество конвейеров, связанных с коллектором.

    • Дата создания — дата и время создания коллектора.

    • Создал — пользователь, инициировавший создание коллектора.

    • Дата изменения — дата и время последнего изменения коллектора.

    • Изменил — пользователь, выполнивший последнее изменение коллектора.

    • EPS за последние 30 минут — график с количеством зарегистрированных событий в секунду (EPS) за последние 30 минут с шагом в 5 минут для выбранного коллектора и всех коллекторов системы.

    Вкладка Уровень логирования содержит информацию об уровне логирования, который задан в настройках коллектора. По кнопке Смотреть логи можно просмотреть список логов коллектора.

    Также вкладка содержит переключатель статуса коллектора.

  2. Конвейеры — отображает информацию о конвейерах в коллекторе. Содержит список конвейеров со следующими полями:

    • ID — уникальный идентификационный код конвейера, генерируемый автоматически при его создании.

    • Описание — краткое описание функциональности конвейера.

    • Дата создания — дата и время создания конвейера.

    • Создал — пользователь, инициировавший создание конвейера.

    • Дата изменения — дата и время последнего изменения конвейера.

    • Изменил — пользователь, выполнивший последнее изменение конвейера.

    • EPS за последние 30 минут — график с количеством зарегистрированных событий в секунду (EPS) за последние 30 минут с шагом в 5 минут.

      Также вкладка содержит поле поиска конвейеров и кнопки для добавления и импорта конвейеров, кнопки для настройки и установки/отключения конфигурации конвейеров.

      В строке конвейера имеется индикатор, обозначающий текущий статус конвейера: зеленый — конвейер включен, серый — конвейер выключен.

      Также в строке каждого конвейера имеется иконка (more vertical). При нажатии на эту иконку открывается выпадающее меню, предлагающее опции для изменения, экспорта, создания копии, удаления конвейера, а также настройки его конфигурации.

  3. Шины — отображает информацию о шинах в коллекторе. Содержит список шин со следующими параметрами:

    • ID — уникальный идентификационный код шины, генерируемый автоматически при ее создании.

    • Описание — краткое описание функциональности шины.

    • Дата создания — дата и время создания шины.

    • Создал — пользователь, инициировавший создание шины.

    • Дата изменения — дата и время последнего изменения шины.

    • Изменил — пользователь, выполнивший последнее изменение шины.

    Также вкладка содержит поле поиска шин и кнопку для добавления шин.
    В строке каждой шины имеется иконка (more vertical). При нажатии на эту иконку открывается выпадающее меню, предлагающее опцию изменения шины.

  4. Обогащение — отображает информацию о таблицах обогащения, добавленных на коллектор. Содержит список таблиц обогащения со следующими параметрами:

    • ID обогащения — уникальный идентификационный код компонента обогащения, генерируемый автоматически при добавлении его на коллектор.

    • Описание — краткое описание функциональности обогащения.

    • ID таблицы обогащения — уникальный идентификационный код таблицы обогащения, которая была использована при создании обогащения.

    • Таблица обогащения — название таблицы обогащения, которая была использована при создании обогащения.

    • Версия таблицы обогащения — версия таблицы обогащения, указанная в поле version в настройках таблицы.

    • Дата создания — дата и время создания обогащения.

    • Создал — пользователь, инициировавший создание обогащения.

    • Дата изменения — дата и время последнего изменения обогащения.

    • Изменил — пользователь, выполнивший последнее изменение обогащения.

      Также вкладка содержит поле поиска по элементам обогащения коллектора и кнопку для добавления шин.

      В строке каждого элемента вкладки Обогащение имеется иконка (more vertical). При нажатии на эту иконку открывается выпадающее меню, предлагающее опцию изменения элемента.

При работе с таблицей коллекторов доступны следующие операции:

Работа с коллектором

Доступные операции над коллекторами:

Создание коллектора

Чтобы создать коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на кнопку Создать (plus). Отобразится окно создания коллектора.

  3. Введите название коллектора.

  4. Укажите количество ядер процессора (CPU) и объем оперативной памяти (RAM), выделяемый для работы коллектора. Это можно сделать непосредственно в поле или с помощью кнопок plus и minus.

    • Ресурсы, выделенные на работу коллектора, не используются в распределенной корреляции.

    • Каждая точка входа типа Database, размещенная на конвейере коллектора, использует 256 МБ оперативной памяти (RAM) из ресурсов коллектора. Если планируется размещение точек входа типа Database, необходимо учитывать их суммарное потребление памяти при распределении ресурсов коллектора.

  5. При необходимости введите описание коллектора.

  6. Для работы в режиме распределенной корреляции переведите переключатель Распределенный коррелятор в активное положение.

    Изменение этой настройки потребует перезапуска коллектора.
    Если система работает на базе кластера Kubernetes с одним узлом, включение режима распределенной корреляции недоступно.

  7. Укажите количество ядер процессора (CPU) и объем оперативной памяти (RAM), выделяемый для работы распределенного коррелятора. Это можно сделать непосредственно в поле или с помощью кнопок plus и minus.

    Операции полей join и group декларативного правила вычисляются на корреляторе. Остальные поля, в том числе alias и filter, вычисляются на предпроцессорах. В составе распределенного коррелятора может быть только один коррелятор, но несколько предпроцессоров.

    1. Укажите ресурсы для предпроцессора:

      1. Выберите узел для размещения предпроцессора.

      2. Укажите количество ядер процессора и объем оперативной памяти, выделяемые для работы предпроцессора.

    2. Укажите ресурсы для коррелятора:

      1. Выберите узел для размещения коррелятора.

      2. Укажите количество ядер процессора и объем оперативной памяти, выделяемые для работы коррелятора.

  8. Нажмите на кнопку Добавить предпроцессор, если необходимо добавить дополнительный предпроцессор.

  9. При необходимости выберите уровень логирования из выпадающего списка Уровень логирования. Доступны следующие значения:

    • Error — записываются критические ошибки, которые могут влиять на работоспособность коллектора или препятствовать работе коллектора.

    • Warn — записываются предупреждения о потенциальных проблемах, которые могут требовать внимания, но не являются критическими.

    • Info — записывается общая информация о работе и состоянии коллектора.

    • Debug — записываются подробные отладочные сообщения, которые могут использоваться для диагностики и устранения проблем с коллектором.

    • Trace — самый подробный уровень логирования, предоставляющий внутреннюю информацию о каждом шаге работы коллектора.

  10. Нажмите на кнопку Создать. Система создаст новый коллектор и отобразит уведомление о его добавлении. Коллектор отобразится в списке раздела Ресурсы → Коллекторы.

Просмотр коллектора

Чтобы просмотреть коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

Название коллектора отображается в верхней части карточки.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

По умолчанию при выборе коллектора открывается вкладка Информация. На вкладке отображается общая информация о выбранном коллекторе и информация об уровне логирования.

Вкладка содержит следующие параметры:

  • Метрики коллектора:

    • Характеристика процессора (CPU), объем оперативной памяти (RAM) и жесткого диска (HDD) сервиса, а также их уровень загруженности.

  • Метка Распределенный коррелятор отображается, если включен режим распределенной корреляции.

  • Метрики распределенного коррелятора:

    • Характеристика процессора (CPU), объем оперативной памяти (RAM) и жесткого диска (HDD) для каждого узла распределенного коррелятора, включая данные по каждому предпроцессору и коррелятору.

  • Идентификатор коллектора.

  • Название коллектора.

  • Идентификатор тенанта, к которому относится коллектор.

  • Статус коллектора.

  • IP адрес, с которым связан коллектор.

  • Имя хоста.

  • Описание коллектора.

  • Количество конвейеров, связанных с коллектором.

  • Дата и время создания коллектора.

  • Идентификатор пользователя, создавшего коллектор.

  • Дата и время последнего изменения коллектора.

  • Идентификатор пользователя, изменившего коллектор.

  • График с количеством зарегистрированных событий в секунду (EPS) за последние 30 мин. с шагом в 5 мин.

  • Уровень логирования коллектора с возможностью просмотра списка логов.

  • Переключатель статуса коллектора.

Включение коллектора

Для того чтобы коллектор мог начать работу с событиями, поступающими в систему, его нужно включить.

Вместе с коллектором также выключаются и все связанные с ним конвейеры.

Чтобы включить коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Убедитесь, что в карточке коллектора открыта вкладка Информация.

  4. Переведите переключатель состояния коллектора в верхней части карточки в активное положение. Отобразится окно подтверждения включения коллектора.

  5. Нажмите на кнопку Включить. Система обновит информацию о статусе коллектора.

Если при включении коллектора возникли ошибки, система отобразит сообщение об этом. Для просмотра списка ошибок нажмите на кнопку Показать.

Чтобы выключить работающий коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Убедитесь, что на карточке коллектора открыта вкладка Информация.

  4. Переведите переключатель в верхней части коллектора в неактивное положение. Отобразится окно подтверждения выключения коллектора.

  5. Нажмите на кнопку Выключить. Система обновит информацию о статусе коллектора.

Изменение коллектора

Чтобы изменить коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Выберите опцию Изменить в выпадающем меню Действия (more vertical) в верхней части карточки коллектора. Отобразится окно настроек коллектора.

  4. Внесите изменения в требуемые поля коллектора.

  5. Нажмите на кнопку Сохранить. Измененные данные коллектора будут сохранены.

Изменить название и описание коллектора можно непосредственно из его карточки:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Убедитесь, что на карточке коллектора открыта вкладка Информация.

  4. Нажмите на кнопку edit рядом с текущим названием или описанием коллектора в его карточке. Система отобразит поле ввода значения.

  5. Введите новое значение поля.

  6. Нажмите Сохранить. Измененные данные коллектора будут сохранены.

Удаление коллектора

Удаление недоступно для коллекторов, используемых в других сущностях системы.

Чтобы удалить коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Выберите опцию Удалить в выпадающем меню Действия (more vertical) в верхней части карточки коллектора. Отобразится окно подтверждения удаления коллектора.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранного коллектора, и коллектор исчезнет из списка коллекторов.

Вместе с коллектором также удаляются и все добавленные в него конвейеры и шины.

Импорт коллектора

Для загрузки конфигурации коллектора в систему применяется функционал импорта, поддерживающий обработку файлов в формате JSON.

Перед тем как импортировать коллектор:

  1. Создайте или импортируйте в систему хранилище событий.

  2. Импортируйте в систему все элементы экспертизы, которые содержит импортируемый коллектор.

Чтобы импортировать коллектор:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на кнопку Импортировать на панели инструментов. Система отобразит окно импорта элементов экспертизы.

  3. Нажмите Выбрать файл. Откроется окно проводника операционной системы.

  4. В окне выберите файл для импорта и нажмите на кнопку Открыть. Файл отобразится в окне импорта элементов экспертизы.

  5. Нажмите на кнопку Импортировать. Элемент экспертизы будет загружен в систему. Система отобразит окно с итогами импорта.

Экспорт коллектора

Чтобы экспортировать группу коллекторов:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Установите флажки напротив тех коллекторов, которые вы хотите экспортировать, в левом столбце таблицы.

  3. Нажмите на кнопку Экспортировать на панели инструментов. Система запросит подтверждение выполнения экспорта.

  4. В отобразившемся диалоговом окне нажмите Экспортировать. Коллектор будет загружен на устройство пользователя. Система отобразит уведомление об успешном экспорте коллектора.

Также коллектор можно экспортировать из его карточки:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Выберите опцию Экспортировать в выпадающем меню Действия (more vertical) в верхней части карточки коллектора. Отобразится окно экспорта данных.

  4. Нажмите Экспорт. Данные коллектора будут экспортированы.

Работа с логами коллектора

Логирование коллекторов обеспечивает запись событий и состояний системы сбора данных, что позволяет администраторам и разработчикам отслеживать и анализировать работу системы. Уровень логов настраивается вручную при создании коллектора или изменении его параметров, что позволяет гибко управлять объемом и детализацией регистрируемых данных. Доступные уровни логов включают в себя Error, Warn, Info, Debug и Trace, каждый из которых предоставляет различный уровень информации о работе коллектора.

Функционал просмотра логов доступен через пользовательский интерфейс, на вкладке Информация карточки коллектора. Здесь отображается текущий уровень логов и предоставляется возможность просмотра самих логов. Для более удобного анализа логов в системе реализованы инструменты фильтрации и поиска, а также функционал копирования записей журнала логов в буфер обмена.

Доступные операции над логами коллектора:

Просмотр логов коллектора

Чтобы просмотреть логи коллектора:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

    Название коллектора отображается в верхней части карточки.

    По умолчанию при выборе коллектора открывается вкладка Информация. На вкладке отображается общая информация о выбранном коллекторе и секция, посвященная логированию.

  3. В секции Логи коллектора система отображает текущий уровень логирования коллектора. Нажмите на кнопку Смотреть логи. Система отобразит окно со списком логов коллектора.

Просмотр логов коллектора также доступен по нажатию кнопки Просмотреть логи (file text 2) на странице конфигурации конвейера.

В окне просмотра логов коллектора доступны следующие настройки:

  • Переключатель Мониторинг, который позволяет управлять режимом вывода логов. Если переключатель активирован, вывод логов происходит в реальном времени.

  • Панель настроек фильтрации списка логов, где можно настроить отображение логов за определенный период времени. Пользователь может установить значение вручную или выбрать период из списка.

В левом верхнем углу окна отображается ID просматриваемого коллектора.

Фильтрация списка логов коллектора

Чтобы отфильтровать список логов коллектора в режиме просмотра логов коллектора выполните следующие шаги:

Для получения логов за конкретный временной интервал выключите мониторинг.

  1. Из карточки коллектора перейдите к списку логов, нажав на кнопку Смотреть логи. Система отобразит окно со списком логов коллектора.

  2. Выключите опцию Стрим. Настройки фильтрации станут доступными для редактирования.

  3. Задайте период отображения логов вручную или выберите значение из списка.

  4. Нажмите на кнопку Поиск. Система отобразит результаты фильтрации логов в окне.

Копирование логов коллектора

Чтобы скопировать записи журнала логов коллектора:

  1. Из карточки коллектора перейдите к списку логов нажав на кнопку Смотреть логи. Система отобразит окно со списком логов коллектора.

  2. Нажмите на кнопку Скопировать в правой нижней части экрана. Записи журнала будут скопированы в буфер обмена.

Изменение уровня логов

Изменить уровень логов можно отредактировав настройки коллектора.

Чтобы изменить уровень логов коллектора:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (Включен/Выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Выберите опцию Изменить в выпадающем меню Действия (more vertical) в верхней части карточки коллектора. Отобразится окно настроек коллектора.

  4. Выберите значение из выпадающего списка Уровень логов. Доступны следующие значения:

    • Error — записываются критические ошибки, которые могут влиять на работоспособность коллектора или препятствовать работе коллектора.

    • Warn — записываются предупреждения о потенциальных проблемах, которые могут требовать внимания, но не являются критическими.

    • Info — записывается общая информация о работе и состоянии коллектора.

    • Debug — записываются подробные отладочные сообщения, которые могут использоваться для диагностики и устранения проблем с коллектором.

    • Trace — самый подробный уровень логирования, предоставляющий внутреннюю информацию о каждом шаге работы коллектора.

  5. Нажмите на кнопку Сохранить. Измененные данные коллектора будут сохранены.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение