О версии 2.7

Технические особенности

Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.

Особенности обновления

При обновлении системы до версии 2.7.1 необходимо выполнить ряд ручных действий. Подробности приведены в разделе Обновление системы.

Перевод правил корреляции в декларативный формат

В ближайших версиях продукта из функционала будут убраны императивные правила. Рекомендуется перевести все правила корреляции в декларативный формат. Подробности о данном формате приведены в разделе Декларативные правила.

Известные проблемы

  • В версиях 2.7.2 и ниже возможно возникновение ошибки при поиске данных с группировкой, если группа содержит поля типа IPv4 или IPv6 с пустыми значениями. Данная проблема будет исправлена в ближайших версиях продукта.

  • Если изменить срок хранения в настройках томов хранилища событий, которое содержит большие объемы данных, окно изменения хранилища может перестать отвечать на запросы в течение некоторого времени, пока не истечет таймаут синхронного ожидания обработки. Таймаут может быть связан как с большим количеством данных, так и с проблемами в обработке очереди DDL-операций. Работа с очередью, а также с асинхронными и длительными операциями будет переработана в будущем.

Новые возможности

Исключения в правилах корреляции

В корреляторах реализован механизм исключений с помощью системных активных списков:

  • Черный список — для определения подозрительных сущностей, которые необходимо проанализировать.

  • Белый список — для указания доверенных сущностей, дальнейшая обработка которых не требуется.

ActiveLists

Добавление записей в черный и белый списки осуществляется через раздел Поиск на основе корреляционных событий. Также записи могут быть добавлены вручную через раздел Ресурсы → Активные списки.

AddException

Точка входа MongoDB

  AddMongoDBEntryPoint

Добавлена точка входа MongoDB, позволяющая собирать данные из одноименной базы данных.

Данная точка входа может быть полезна, если требуется получить логи приложений, которые записываются в MongoDB, для их дальнейшей обработки в системе.

Выбор и изменение пространства у коллектора

Расширены возможности работы с пространством у коллектора. Теперь доступны следующие операции:

Улучшения и доработки

Пользовательский интерфейс и опыт

  • Переработка ошибок хранилищ и БД: теперь, когда получение данных о хранилищах и БД событий завершается с ошибками, в их карточках отображаются соответствующие сообщения.

Изменения в версии 2.7.1

  • Срок жизни для конкретных записей в активных списках: добавлена возможность задавать срок жизни в записях активных списков с помощью поля ttl типа integer. Если поле принимает значение 0, то запись становится бессрочной.

  • VRL в активных списках: для полей активных списков добавлен тип данных vrl_string, поддерживающий задание и валидацию строк VRL-кода.

  • Разделение запросов по метрикам в коллекторе: все метрики для коллектора и конвейера теперь запрашиваются системой независимо друг от друга. Это позволяет сохранить работоспособность коллекторов и конвейеров в случае ошибок при получении метрик.

  • Оригинальный IP-адрес источника: для точек входа Socket и Syslog добавлена возможность получения оригинального IP-адреса источника событий. По умолчанию в событии сохраняется IP-адрес узла кластера Kubernetes.

Исправление проблем

  • Исправлена проблема, при которой после удаления активного списка из системы в бакетах NATS Key/Value оставались его записи.

  • Исправлена проблема, при которой для активных списков наблюдалось увеличение объема бакетов NATS Key/Value.

  • Исправления в версии 2.7.1:

    • Исправлена проблема, при которой в корреляторе происходила утечка памяти, если перед ним стояла точка входа R-Vision Endpoint.

    • Исправлена проблема, при которой в точках входа R-Vision Endpoint игнорировалась настройка Максимум сообщений в обработке.

    • Исправлена проблема, из-за которой для точек входа с активным сбором увеличивался размер бакета NATS Object Store, что вызывало повышенную нагрузку на NATS.

    • Исправлена проблема, из-за которой коллектор аудита не запускался при наличии символа $ в имени пользователя, пароле пользователя или имени хоста ClickHouse.

    • Исправлена проблема, из-за которой в секретах типа Контейнер PKCS и Контейнер PKCS#12 не сохранялся пароль приватного ключа.

  • Исправления в версии 2.7.2:

    • Исправлена проблема, при которой система Prometheus могла потреблять все ресурсы на worker-узле, что приводило к его сбою. Теперь для Prometheus установлены лимиты по потреблению памяти.

    • Исправлена проблема, при которой для коллекторов, созданных в сателлитах, отсутствовали метрики по CPU и RAM.

    • Исправлена проблема, при которой получение больших объемов данных с помощью точки входа Database приводило к ошибке работы коллектора.

    • Исправлена проблема, при которой для точки входа Socket сбрасывались метрики, если между событиями проходило более 5 минут реального времени.

    • Исправлена проблема, при которой в коллекторах разных пространств нельзя было создать точки входа с одинаковым портом.

    • Исправлена проблема, при которой допускалась установка конфигурации конвейера, где элементы использовали правила экспертизы несуществующих версий.

    • Исправлена проблема, из-за которой поиск данных с группировкой по меткам времени, например timestamp, приводил к ошибке и найденные данные не отображались.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь