Работа с хранилищами событий

Данный раздел описывает процесс работы с хранилищами событий в системе R-Vision SIEM. Работа осуществляется в разделе Ресурсы → Хранилища событий веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О хранилищах событий

Хранилище событий используется для хранения событий, поступивших в систему и обработанных коллектором. Оно представляет собой таблицу в БД событий. Формат хранилища определяется его моделью данных.

Система R-Vision SIEM поддерживает хранилища событий двух типов:

Системные хранилища событий — создаются системой автоматически. Они недоступны для изменения названия/описания или удаления. Системные хранилища не могут быть использованы в качестве хранилищ событий для конечных точек и сервиса оповещений.
Пользовательские хранилища событий — создаются вручную.

В системе имеется системное хранилище событий аудита, предназначенное для хранения событий сервиса аудита. Это хранилище построено на системной БД событий аудита.

Интерфейс раздела

Панель инструментов включает в себя следующие компоненты:

Кнопка Создать () позволяет создать новое хранилище событий.
Поле Поиск предназначено для быстрого поиска хранилищ событий в отображаемом списке по названию.

В рабочей области отображается таблица имеющихся хранилищ событий. При выборе конкретного хранилища в правой части рабочей области отображается его карточка с детальной информацией, которая включает в себя следующие вкладки:

Информация — отображает информацию о хранилищах событий. Содержит следующие поля:

ID — уникальный идентификационный код хранилища событий, генерируемый автоматически при его создании.
Название — системное имя хранилища событий, используемое для его идентификации.
Описание — краткое описание функциональности хранилища событий.
ID тенанта — уникальный идентификационный код тенанта, к которому относится хранилище.
Тип — тип хранилища событий: системное или пользовательское.
БД событий — БД событий, в которой содержится хранилище.
Модель событий — модель события, определяющая формат хранилища.
Событий в хранилище — количество событий в хранилище.
Дата создания — дата и время создания хранилища событий.
Создал — пользователь, инициировавший создание хранилища событий.
Дата изменения — дата и время последнего изменения хранилища событий.
Изменил — пользователь, выполнивший последнее изменение хранилища событий.

На вкладке также отображаются показатели сжатия данных, хранящихся в таблице ClickHouse, которая ассоциирована с хранилищем событий:

объем занимаемого пространства без сжатия;
объем занимаемого пространства со сжатием;
коэффициент сжатия, показывающий отношение занимаемого объема без сжатия к занимаемому объему со сжатием.

Для получения более подробной информации о сжатии предназначена кнопка Подробнее.

Из-за особенностей поведения механизма сжатия в ClickHouse, для хранилищ с небольшим количеством данных показатели сжатия могут быть равны 0.

Тома — отображает информацию о томах в хранилище событий. Доступные тома: hot_volume (горячее хранение) — для быстрого доступа к часто используемым данным, cold_volume (холодное хранение) — для хранения редко используемых данных.

Для каждого тома отображается следующая информация:

Свободно/всего — информация о свободном и общем объеме тома.
Количество событий в томе — информация о количестве событий, хранящихся в томе.
Объем занимаемого места в томе — информация о фактически занимаемом объеме тома.

Уведомлять, если свободно менее — порог свободного объема тома, при достижении которого система уведомляет пользователя с помощью предупреждения в карточке хранилища и иконки alert red в таблице раздела.

Настройка уведомления при достижении порога свободного объема тома выполняется в карточке БД событий, лежащей в основе текущего хранилища.

При исчерпании всего свободного объема тома происходит остановка конвейеров, связанных с текущим хранилищем событий.

Срок хранения — количество дней, в течение которых события хранятся в томе.

В верхней части карточки имеется иконка ( more vertical ). При нажатии на эту иконку открывается выпадающее меню, предлагающее опции для изменения и удаления хранилища событий.

Колонки таблицы хранилищ событий представлены следующим образом:

Название — название хранилища событий, используемое для его идентификации.
Описание — описание хранилища событий.
БД событий — БД событий, в которой содержится хранилище.
Модель событий — модель события, используемая хранилищем.
Событий в хранилище — количество событий в хранилище.
Дата создания — дата и время создания хранилища событий.
Дата изменения — дата и время последнего изменения хранилища событий.

Если в томах хранилища заканчивается свободное место, слева от его записи в таблице отображается иконка alert red

При работе с таблицей хранилищ событий доступны следующие операции:

Поиск хранилищ по полю Название.
Сортировка хранилищ по полям Название, Дата создания и Дата изменения.
Настройка отображения таблицы хранилищ.

Работа с хранилищем событий

Доступные операции над хранилищами событий:

создание хранилища событий;
просмотр хранилища событий;
просмотр показателей сжатия по полям;
изменение хранилища событий;
удаление хранилища событий.

Создание хранилища событий

Чтобы создать хранилище событий:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на кнопку Создать (). Отобразится окно создания хранилища событий.
Выберите из выпадающего списка БД событий, в которую требуется поместить хранилище. Система отобразит в нижней части поля для настройки томов хранения этой БД.
Выберите из выпадающего списка модель события, которая будет использована для создаваемого хранилища.
Введите название хранилища событий.
При необходимости введите описание хранилища событий.

Задайте настройки хранения данных:

Выберите том хранения данных:
- hot_volume — том для быстрого доступа к часто используемым данным (горячее хранение).
- cold_volume — том для хранения редко используемых данных (холодное хранение).

Укажите срок хранения данных в днях.

Если поле для срока хранения данных оставить пустым, то срок хранения данных в этом хранилище будет неограниченным.

Выберите из выпадающего списка действие над данными в томе по окончании срока хранения:
- Переместить — данные будут перемещены в другой том. Система добавит дополнительную строку для настройки нового тома, в который требуется переместить данные.
- Удалить — данные в томе будут удалены.

При необходимости можно задать настройки хранения данных на основе настроек по умолчанию в выбранной БД. Для этого нажмите на кнопку Применить настройки хранения по умолчанию БД. Если настройки по умолчанию не заданы, система отобразит соответствующее сообщение.

Нажмите на кнопку Создать. Система создаст новое хранилище событий и отобразит уведомление о его добавлении. Хранилище отобразится в списке раздела Ресурсы → Хранилища событий.

Просмотр хранилища событий

Чтобы просмотреть хранилище событий:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на строку хранилища событий в списке. Система отобразит в правой части экрана карточку этого хранилища с подробной информацией о нем.

Название хранилища событий отображается в верхней части карточки.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

По умолчанию при выборе хранилища событий открывается вкладка Информация. На вкладке отображается информация о выбранном хранилище. Вкладка содержит следующие параметры:

Идентификатор хранилища.
Название хранилища.
Описание хранилища.
Идентификатор тенанта, к которому относится хранилище.
Тип хранилища: системное или пользовательское.
БД событий, в которой создано хранилище.
Модель данных, используемая для хранилища.
Количество событий в хранилище.
Дата и время создания хранилища.
Идентификатор пользователя, создавшего хранилище.
Дата и время последнего изменения хранилища.
Идентификатор пользователя, изменившего хранилище.

объем занимаемого пространства без сжатия;
объем занимаемого пространства со сжатием;
коэффициент сжатия, показывающий отношение занимаемого объема без сжатия к занимаемому объему со сжатием.

Для получения более подробной информации о сжатии предназначена кнопка Подробнее.

Просмотр показателей сжатия по полям

Основная информация о сжатии данных в хранилище отображается на вкладке Информация в карточке хранилища.

Чтобы получить подробную информацию о показателях сжатия по каждому полю в модели события, лежащей в основе хранилища:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на строку хранилища событий в списке. Система отобразит в правой части экрана карточку этого хранилища с подробной информацией о нем.
Убедитесь, что в карточке хранилища открыта вкладка Информация.
Нажмите на кнопку Подробнее справа от заголовка группы Показатели сжатия в карточке. Откроется окно показателей сжатия по полям.

В верхней части окна отображаются основные показатели сжатия данных, которые хранятся в таблице ClickHouse, ассоциированной с хранилищем событий:

объем занимаемого пространства без сжатия;
объем занимаемого пространства со сжатием;
коэффициент сжатия, показывающий отношение занимаемого объема без сжатия к занимаемому объему со сжатием.

Также в окне представлена таблица показателей сжатия по всем полям модели события. Таблица содержит следующие колонки:

Название — название поля в модели события.
Объем без сжатия — объем занимаемого полем пространства без сжатия.
Объем со сжатием — объем занимаемого полем пространства со сжатием.
Коэффициент сжатия — отношение занимаемого полем объема без сжатия к занимаемому объему со сжатием.

При работе с таблицей доступны следующие операции:

Поиск показателей по полю Название.
Сортировка показателей по любому столбцу.

Вы также можете экспортировать таблицу показателей сжатия в файл формата CSV по кнопке export .

Изменение хранилища событий

Изменение названия и описания доступно только для хранилищ событий с типом Пользовательское.

Чтобы изменить хранилище событий:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на строку хранилища событий в списке. Система отобразит в правой части экрана карточку этого хранилища с подробной информацией о нем.
Выберите опцию Изменить в выпадающем меню Действия () в верхней части карточки хранилища событий. Отобразится окно изменения настроек хранилища.
Внесите изменения в требуемые поля хранилища событий.
Нажмите на кнопку Сохранить. Измененные данные хранилища событий будут сохранены.

Изменить название и описание хранилища можно непосредственно из его карточки:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на строку хранилища событий в списке. Система отобразит в правой части экрана карточку этого хранилища с подробной информацией о нем.
Убедитесь, что на карточке хранилища событий открыта вкладка Информация.
Нажмите на кнопку рядом с текущим названием или описанием хранилища в его карточке. Система отобразит поле ввода значения.
Введите новое значение поля.
Нажмите Сохранить. Измененные данные хранилища событий будут сохранены.

Удаление хранилища событий

Удаление доступно только для хранилищ событий с типом Пользовательское.

Удаление недоступно для хранилищ событий, используемых в других сущностях системы.

Чтобы удалить хранилище событий:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на строку хранилища событий в списке. Система отобразит в правой части экрана карточку этого хранилища с подробной информацией о нем.
Выберите опцию Удалить в выпадающем меню Действия () в верхней части карточки хранилища событий. Отобразится окно подтверждения удаления хранилища.
Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранного хранилища событий, и хранилище исчезнет из списка хранилищ.

Тома хранения данных

Тома хранения данных подгружаются в хранилище событий автоматически из БД событий, в которой содержится хранилище.

Тома хранения данных в хранилище событий бывают следующих типов:

hot_volume — предназначен для быстрого доступа к часто используемым данным (горячее хранение).
cold_volume — предназначен для хранения редко используемых данных (холодное хранение).

Просмотр томов хранилища событий

Чтобы отобразить информацию о томах хранилища событий:

Перейдите в раздел Ресурсы → Хранилища событий. Система отобразит сведения об имеющихся хранилищах событий.
Нажмите на строку хранилища событий в списке. Система отобразит в правой части экрана карточку этого хранилища с подробной информацией о нем.
Перейдите на вкладку Тома в карточке хранилища событий. Система отобразит список томов хранилища.

Вкладка содержит следующую информацию о томах hot_volume (горячее хранение) и cold_volume (холодное хранение):

Свободно/всего — информация о свободном и общем объеме тома.
Количество событий в томе — информация о количестве событий, хранящихся в томе.
Объем занимаемого места в томе — информация о фактически занимаемом объеме тома.

Срок хранения — количество дней, в течение которых события хранятся в томе.