Работа с базами данных событий

Данный раздел описывает процесс работы с базами данных событий в системе R-Vision SIEM. Работа осуществляется в разделе Ресурсы → Базы данных событий веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О базах данных событий

Базы данных (БД) событий используются для хранения событий в системе. Единицей хранения событий в БД является хранилище событий: на уровне БД хранилище представляет собой таблицу. Столбцы и типы данных хранилища задаются моделью события.

Система R-Vision SIEM поддерживает БД событий двух типов:

  • Системные БД событий — регистрируются системой автоматически. Они недоступны для изменения или удаления. Системные БД не могут быть использованы для создания хранилища событий.

  • Пользовательские БД событий — регистрируются вручную.

В системе имеется системная БД событий аудита. Эта БД лежит в основе системного хранилища событий, предназначенного для хранения событий сервиса аудита.

Интерфейс раздела

Панель инструментов включает в себя следующие компоненты:

  • Кнопка Зарегистрировать (plus) позволяет зарегистрировать новую БД событий.

  • Поле Поиск предназначено для быстрого поиска БД событий в отображаемом списке по названию.

В рабочей области отображается таблица имеющихся БД событий. При выборе конкретной БД в правой части рабочей области отображается ее карточка с детальной информацией, которая включает в себя следующие вкладки:

  1. Информация — отображает информацию о БД событий. Содержит следующие поля:

    • CPU — количество ядер и уровень загруженности процессора сервиса.

    • RAM — объем и уровень загруженности оперативной памяти сервиса.

    • HDD — объем и уровень загруженности жесткого диска сервиса.

    • ID — уникальный идентификационный код БД, генерируемый автоматически при ее создании.

    • Название — системное имя БД, используемое для ее идентификации.

    • Идентификатор сервиса — уникальный идентификационный код БД в системе обнаружения сервисов Consul.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится БД.

    • Тип — тип БД событий: системная или пользовательская.

    • Описание — краткое описание функциональности БД.

    • Статус — текущий статус БД (активна или недоступна).

    • Хранилищ событий в БД — количество хранилищ событий, содержащихся в БД.

    • Дата создания — дата и время создания БД.

    • Создал — пользователь, инициировавший создание БД.

    • Дата изменения — дата и время последнего изменения БД.

    • Изменил — пользователь, выполнивший последнее изменение БД.

    • EPS за последние 30 минут — график с количеством зарегистрированных событий в секунду (EPS) за последние 30 минут с шагом в 5 минут.

  2. Тома — отображает информацию о томах в БД событий. Доступные тома: hot_volume (горячее хранение) — для быстрого доступа к часто используемым данным, cold_volume (холодное хранение) — для хранения редко используемых данных.

    Для каждого тома отображается следующая информация:

    • Свободно/всего — информация о свободном и общем объеме тома.

    • Уведомлять, если свободно менее — порог свободного объема тома, при достижении которого система сформирует предупреждения в карточке БД и отобразит иконки alert red в таблице раздела.

      Для настройки порога свободного объема в томе предназначена кнопка Настройка тома.

      При исчерпании всего свободного объема тома происходит остановка конвейеров, связанных с текущей БД событий.

    В нижней части вкладки расположена кнопка для настройки хранения данных в БД по умолчанию.

В верхней части карточки имеется иконка (more vertical). При нажатии на эту иконку открывается выпадающее меню, предлагающее опции для изменения и удаления БД событий.

Колонки таблицы БД событий представлены следующим образом:

  • Название — название БД, используемое для ее идентификации.

  • Статус — текущий статус БД (активна или недоступна).

  • Идентификатор сервиса — уникальный идентификатор БД в системе обнаружения сервисов Consul.

  • Описание — описание БД.

  • Дата создания — дата и время создания БД.

  • Дата изменения — дата и время последнего изменения БД.

Если в томах базы данных заканчивается свободное пространство, слева от ее записи в таблице отображается иконка alert red.

При работе с таблицей БД событий доступны следующие операции:

Работа с базами данных событий

Доступные операции над БД событий:

Регистрация базы данных событий

Чтобы зарегистрировать БД событий:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на кнопку Зарегистрировать (plus). Отобразится окно регистрации БД событий.

  3. Введите название БД событий.

  4. Введите уникальный идентификатор БД в системе обнаружения сервисов Consul.

  5. При необходимости введите описание БД событий.

  6. Нажмите на кнопку Зарегистрировать. Система создаст новую БД событий и отобразит уведомление о ее добавлении. БД отобразится в списке раздела Ресурсы → Базы данных событий.

Просмотр базы данных событий

Чтобы просмотреть БД событий:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

Название БД событий отображается в верхней части карточки.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

По умолчанию при выборе БД событий открывается вкладка Информация. На вкладке отображается информация о выбранной БД.

Вкладка содержит следующие параметры:

  • Характеристика процессора (CPU), объем оперативной памяти (RAM) и жесткого диска (HDD) сервиса, а также их уровень загруженности.

  • Идентификатор БД.

  • Название БД.

  • Идентификатор БД в системе обнаружения сервисов Consul.

  • Идентификатор тенанта, к которому относится БД.

  • Тип БД: системная или пользовательская.

  • Описание БД.

  • Статус БД.

  • Количество хранилищ, содержащихся в БД.

  • Дата и время создания БД.

  • Идентификатор пользователя, создавшего БД.

  • Дата и время последнего изменения БД.

  • Идентификатор пользователя, изменившего БД.

  • График с количеством зарегистрированных событий в секунду (EPS) за последние 30 мин. с шагом в 5 мин.

Изменение базы данных событий

Изменение доступно только для БД событий с типом Пользовательская.

Чтобы изменить БД событий:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

  3. Выберите опцию Изменить в выпадающем меню Действия (more vertical) в верхней части карточки БД событий. Отобразится окно изменения настроек БД.

  4. Внесите изменения в требуемые поля БД событий.

  5. Нажмите на кнопку Сохранить. Измененные данные БД событий будут сохранены.

Изменить название и описание БД событий можно непосредственно из ее карточки:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

  3. Убедитесь, что на карточке БД событий открыта вкладка Информация.

  4. Нажмите на кнопку edit рядом с текущим названием или описанием БД событий в ее карточке. Система отобразит поле ввода значения.

  5. Введите новое значение поля.

  6. Нажмите Сохранить. Измененные данные БД событий будут сохранены.

Удаление базы данных событий

Удаление доступно только для БД событий с типом Пользовательская.

Удаление недоступно для БД, используемых в других сущностях системы.

Чтобы удалить БД:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

  3. Выберите опцию Удалить в выпадающем меню Действия (more vertical) в верхней части карточки БД событий. Отобразится окно подтверждения удаления БД.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранной БД событий, и БД исчезнет из списка БД событий.

Тома хранения данных

Тома хранения данных в БД событий бывают следующих типов:

  • hot_volume — предназначен для быстрого доступа к часто используемым данным (горячее хранение).

  • cold_volume — предназначен для хранения редко используемых данных (холодное хранение).

Доступные операции над томами БД событий:

Просмотр томов базы данных событий

Чтобы отобразить информацию о томах БД событий:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

  3. Перейдите на вкладку Тома в карточке БД событий. Система отобразит список томов БД.

Вкладка содержит следующую информацию о томах hot_volume (горячее хранение) и cold_volume (холодное хранение):

  • Свободно/всего — информация о свободном и общем объеме тома.

  • Уведомлять, если свободно менее — порог свободного объема тома, при достижении которого система сформирует предупреждения в карточке БД и отобразит иконки alert red в таблице раздела.

    Для настройки порога свободного объема в томе предназначена кнопка Настройка тома.

    При исчерпании всего свободного объема тома происходит остановка конвейеров, связанных с текущей БД событий.

В нижней части вкладки расположена кнопка для настройки хранения данных в БД по умолчанию.

Настройки томов базы данных событий

Чтобы настроить том базы данных событий:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

  3. Перейдите на вкладку Тома в карточке БД событий. Система отобразит список томов БД.

  4. Нажмите на кнопку Настроить том требуемого тома. Отобразится окно настройки тома.

  5. Задайте пороговое значение свободного объема тома, при достижении которого система сформирует уведомление. Доступно задание относительного (в процентах) и абсолютного (в ГБ) свободного объема.

  6. Нажмите на кнопку Сохранить. Настройки тома базы данных будут сохранены.

Настройка хранения данных в базе данных событий по умолчанию

Настройки хранения данных в БД событий по умолчанию можно использовать для быстрой настройке хранения данных в хранилищах событий.

Чтобы настроить хранение данные в БД событий по умолчанию:

  1. Перейдите в раздел Ресурсы → Базы данных событий. Система отобразит сведения об имеющихся БД событий.

  2. Нажмите на строку БД событий в списке. Система отобразит в правой части экрана карточку этой БД с подробной информацией о ней.

  3. Перейдите на вкладку Тома в карточке БД событий. Система отобразит список томов БД.

  4. Нажмите на кнопку Настроить хранение по умолчанию в нижней части карточки БД событий. Отобразится окно настроек хранения данных по умолчанию.

  5. Задайте настройки хранения данных:

    1. Выберите из выпадающего списка том хранения данных:

      • hot_volume — том для быстрого доступа к часто используемым данным (горячее хранение).

      • cold_volume — том для хранения редко используемых данных (холодное хранение).

    2. Укажите срок хранения данных в днях.

      Если поле для срока хранения данных оставить пустым, то срок хранения данных в этой БД будет неограниченным.

    3. Выберите из выпадающего списка действие над данными в томе по окончании срока хранения:

      • Переместить — данные будут перемещены в другой том. Система добавит дополнительную строку для настройки нового тома, в который требуется переместить данные.

      • Удалить — данные в томе будут удалены.

  6. Нажмите на кнопку Сохранить. Настройки хранения данных в БД по умолчанию будут сохранены.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение