Работа с обогащениями

Данный раздел описывает процесс работы с обогащениями коллектора в системе R-Vision SIEM. Работа осуществляется на вкладке Обогащение в карточке коллектора.

Об обогащении

Обогащение — это компонент коллектора, который позволяет использовать таблицы обогащения в корреляторах и/или нормализаторах конвейеров. В коллекторе может быть одно или несколько обогащений. Они используются для обогащения и дополнения данных, передаваемых в полях событий: например, перевода кодов ошибок на понятный пользователю язык или расшифровки аббревиатур в наименовании оборудования.

Список обогащений коллектора отображается на вкладке Обогащение в его карточке. Над списком расположено поле для поиска обогащений по названию.

Добавление обогащения

Чтобы добавить обогащение:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Обогащение в карточке коллектора. Система отобразит список обогащений коллектора.

  4. В нижней части карточки нажмите на кнопку Добавить. На экране отобразится окно добавления обогащения.

  5. Введите название обогащения.

  6. Выберите из выпадающего списка таблицу обогащения. Таблица будет использована для создания обогащения в коллекторе.

  7. При необходимости введите описание обогащения.

  8. Нажмите на кнопку Добавить. Обогащение будет создано и отобразится в списке обогащений на вкладке Обогащение в карточке коллектора.

Просмотр обогащения

Чтобы отобразить информацию об обогащении:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Обогащение в карточке коллектора. Система отобразит список обогащений коллектора.

  4. Нажмите на стрелку (chevron down) в строке обогащения. Отобразится карточка обогащения, содержащая следующие поля:

    • ID обогащения — уникальный идентификационный код компонента обогащения, генерируемый автоматически при добавлении его на коллектор.

    • Описание — краткое описание функциональности обогащения.

    • ID таблицы обогащения — уникальный идентификационный код таблицы обогащения, которая была использована при создании обогащения.

    • Таблица обогащения — название таблицы обогащения, которая была использована при создании обогащения.

    • Версия таблицы обогащения — версия таблицы обогащения, указанная в поле version в настройках таблицы.

    • Дата создания — дата и время создания обогащения.

    • Создал — пользователь, инициировавший создание обогащения.

    • Дата изменения — дата и время последнего изменения обогащения.

    • Изменил — пользователь, выполнивший последнее изменение обогащения.

Изменение обогащения

Чтобы изменить обогащение:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Обогащение в карточке коллектора. Система отобразит список обогащений коллектора.

  4. Выберите опцию Изменить в выпадающем меню Действия (more vertical) в строке обогащения. Система отобразит окно редактирования обогащения.

  5. Внесите изменения в требуемые поля.

    Изменение выбора таблицы обогащения, которая была использована для создания обогащения, недоступно.

  6. Нажмите на кнопку Сохранить. Измененные данные обогащения будут сохранены.

Обновление обогащения

При обновлении версии таблицы обогащения, становится доступным обновление обогащения, связанного с таблицей, для актуализации его данных.

Чтобы обновить обогащение:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Обогащение в карточке коллектора. Система отобразит список обогащений коллектора.

  4. Нажмите на кнопку Обновить в строке нужного обогащения. Кнопка отображается только в том случае, если версия таблицы обогащения, связанной с обогащением, обновлена.

    Данные обогащения будут актуализированы в соответствии с новой версией таблицы обогащения.

Удаление обогащения

Чтобы удалить обогащение:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора в списке. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Обогащение в карточке коллектора. Система отобразит список обогащений коллектора.

  4. Выберите опцию Удалить в выпадающем меню Действия (more vertical) в строке обогащения. Система отобразит окно подтверждения действия.

  5. Нажмите Удалить. Обогащение будет удалено из коллектора.

Удаление доступно только для обогащений, таблицы обогащения которых не задействованы в правилах корреляции/нормализации, используемых в корреляторах/нормализаторах конвейеров текущего коллектора.
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение