О версии 2.7

Технические особенности

Информация в данном разделе поможет предотвратить возможные ошибки при обновлении и эксплуатации продукта.

Особенности обновления

При обновлении системы до версии 2.7.1 необходимо выполнить ряд ручных действий. Подробности приведены в разделе Обновление системы.

Перевод правил корреляции в декларативный формат

В ближайших версиях продукта из функционала будут убраны императивные правила. Рекомендуется перевести все правила корреляции в декларативный формат. Подробности о данном формате приведены в разделе Декларативные правила.

Новые возможности

Исключения в правилах корреляции

В корреляторах реализован механизм исключений с помощью системных активных списков:

Черный список — для определения подозрительных сущностей, которые необходимо проанализировать.
Белый список — для указания доверенных сущностей, дальнейшая обработка которых не требуется.

ActiveLists

Добавление записей в черный и белый списки осуществляется через раздел Поиск на основе корреляционных событий. Также записи могут быть добавлены вручную через раздел Ресурсы → Активные списки.

AddException

Точка входа MongoDB

AddMongoDBEntryPoint

Добавлена точка входа MongoDB, позволяющая собирать данные из одноименной базы данных.

Данная точка входа может быть полезна, если требуется получить логи приложений, которые записываются в MongoDB, для их дальнейшей обработки в системе.

Выбор и изменение пространства у коллектора

Расширены возможности работы с пространством у коллектора. Теперь доступны следующие операции:

Выбор подключения к пространству при импорте коллектора.
Изменение выбранного подключения к пространству для выключенного коллектора.

Улучшения и доработки

Пользовательский интерфейс и опыт

Переработка ошибок хранилищ и БД: теперь, когда получение данных о хранилищах и БД событий завершается с ошибками, в их карточках отображаются соответствующие сообщения.

Изменения в версии 2.7.1

Срок жизни для конкретных записей в активных списках: добавлена возможность задавать срок жизни в записях активных списков с помощью поля ttl типа integer. Если поле принимает значение 0, то запись становится бессрочной.
VRL в активных списках: для полей активных списков добавлен тип данных vrl_string, поддерживающий задание и валидацию строк VRL-кода.
Разделение запросов по метрикам в коллекторе: все метрики для коллектора и конвейера теперь запрашиваются системой независимо друг от друга. Это позволяет сохранить работоспособность коллекторов и конвейеров в случае ошибок при получении метрик.
Оригинальный IP-адрес источника: для точек входа Socket и Syslog добавлена возможность получения оригинального IP-адреса источника событий. По умолчанию в событии сохраняется IP-адрес узла кластера Kubernetes.

Исправление проблем

Исправлена проблема, при которой после удаления активного списка из системы в бакетах NATS Key/Value оставались его записи.
Исправлена проблема, при которой для активных списков наблюдалось увеличение объема бакетов NATS Key/Value.
Исправления в версии 2.7.1:
- Исправлена проблема, при которой в корреляторе происходила утечка памяти, если перед ним стояла точка входа R-Vision Endpoint.
- Исправлена проблема, при которой в точках входа R-Vision Endpoint игнорировалась настройка Максимум сообщений в обработке.
- Исправлена проблема, из-за которой для точек входа с активным сбором увеличивался размер бакета NATS Object Store, что вызывало повышенную нагрузку на NATS.
- Исправлена проблема, из-за которой коллектор аудита не запускался при наличии символа $ в имени пользователя, пароле пользователя или имени хоста ClickHouse.
- Исправлена проблема, из-за которой в секретах типа Контейнер PKCS и Контейнер PKCS#12 не сохранялся пароль приватного ключа.

Была ли полезна эта страница?