Работа с моделями событий

Данный раздел описывает процесс работы с моделями событий в системе. Работа осуществляется в разделе Ресурсы → Модели событий веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О моделях событий

Модель события определяет формат хранилища событий — имена, типы полей и типы данных в полях. При создании хранилища событий обязательно указывается используемая в нем модель события.

Система поддерживает модели событий двух типов:

Системные модели событий — создаются системой автоматически. Они недоступны для изменения или удаления.
Пользовательские модели событий — создаются вручную.

В системе имеются следующие системные модели событий:

Универсальная модель события — предназначена для хранения информации о событиях в унифицированном виде.

Универсальная модель события 2.0 — представляет собой развитие предыдущей универсальной модели со следующими целями:

Повысить консистентность заполнения полей, чтобы упростить интерпретацию событий.
Упростить разработку правил нормализации.
Сделать работу с карточкой события более удобной для аналитика.

Поддержка предыдущей универсальной модели будет прекращена в ближайших версиях системы. При создании новых моделей и хранилищ событий рекомендуется использовать универсальную модель 2.0.

Модель события аудита — предназначена для хранения информации о событиях сервиса аудита.

Интерфейс раздела

Панель инструментов раздела включает в себя следующие компоненты:

Кнопка Создать () позволяет создать новую модель события.
Поле Поиск предназначено для быстрого поиска моделей событий в отображаемом списке по названию. Выпадающий список Статус позволяет настроить отображение списка моделей событий в соответствии с выбранным статусом.
Кнопки Экспорт () и Импорт () позволяют выгружать существующие модели событий из системы и загружать в систему модели событий извне.

В рабочей области раздела отображается таблица имеющихся моделей событий. Таблица содержит следующие столбцы:

Название — название модели события, используемое для ее идентификации в системе.
Описание — описание модели события.
Тип — тип модели события: системная или пользовательская.
Статус — текущий статус модели события (включена или выключена).
Дата создания — дата и время создания модели события.
Дата изменения — дата и время последнего изменения модели события.

При работе с таблицей моделей событий доступны следующие операции:

Поиск моделей по полю Название.
Фильтрация моделей по полю Статус. Статус выбирается из выпадающего списка.
Сортировка моделей по полям Название, Дата создания и Дата изменения.
Настройка отображения таблицы.

Работа с моделью события

Доступные операции над моделями событий:

Создание модели события
Просмотр информации о модели события
Включение модели события
Изменение модели события
Импорт модели события
Экспорт модели события
Создание новой модели события на базе текущей
Удаление модели события

Создание модели события

Чтобы создать модель события:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на кнопку Создать (). Отобразится окно создания модели события.
Введите название модели события.
Введите описание модели события.
В нижней части окна находится раздел Схема, содержащий список полей, которые будут использоваться в этой модели события.

По умолчанию система отображает набор служебных полей. Список можно расширить, добавив вручную регулярные поля.
Нажмите на кнопку Создать. Система создаст модель событий и отобразит соответствующее уведомление. Новая модель появится в списке раздела Ресурсы → Модели событий.

Добавление регулярных полей

Чтобы добавить регулярное поле:

Нажмите на кнопку Добавить поле. Система отобразит окно добавления поля.

Введите уникальный ключ идентификации нового поля.

Ключ может состоять только из латинских букв, цифр и подчеркиваний. При этом он не может начинаться с цифры.

При необходимости установите флажок Поле с изменяемой семантикой, чтобы использовать значения из другого поля при построении семантики названия нового поля.

Выберите поле из выпадающего списка Поле, хранящее название, чтобы определить, какое поле будет использовать система для формирования его названия. Можно использовать только следующие типы полей: String, LCString, Enum.

Пример

Создадим поле с ключом collector_number и укажем, что для задания названия этого поля нужно использовать поле id_list. Предположим, поле id_list принимает значение collector_id, а поле collector_number — 250.

При применении этой модели события для поля с ключом collector_number в событии отобразится значение: collector_id:250.

Введите описание нового поля.
Выберите тип данных нового поля. В зависимости от выбранного типа данных необходимо указать его параметры:
- Array — выберите тип элемента массива из списка.
- Enum — укажите список предопределенных значений.
  
  Enum-список может содержать уникальные целочисленные значения от 0 до 127.
  
  Чтобы добавить значение в Enum-список:
  В секции Элементы нажмите на кнопку Добавить. Отобразится строка настроек нового значения.
  
  Введите ключ нового значения. Особенности задания ключа:
  
  Ключ может содержать числа, специальные символы, латинские и кириллические буквы.
  
  Ключ может содержать не более 128 символов.
  
  Ключ должен быть уникален в рамках текущего Enum-списка.
  
  Введите новое значение. Особенности задания значения:
  
  Значением может быть любое целое число от 0 до 127.
  
  Значение должно быть уникальным в рамках текущего Enum-списка.
  Чтобы удалить значение из Enum-списка, нажмите на кнопку в правой части строки этого значения.
- KeyValue — выберите тип значения KeyValue-пары из списка.
- UInt — выберите разрядность из списка. Доступные варианты: 8, 16, 32, 64, 128, 256.
При необходимости включите переключатель Может быть null, чтобы поле могло хранить значение типа null. Если переключатель выключен, а поле не заполнено, событие в хранилище не будет создано.

В полях типов Array, KeyValue, LCString этот переключатель не используется.

При необходимости включите переключатель Отображать поле, чтобы поле отображалось в списке результатов поиска в разделе Поиск.

Эту настройку можно изменить при просмотре модели события или при настройке внешнего вида списка событий.

Нажмите на кнопку Добавить.

Чтобы изменить добавленное поле:

Нажмите на кнопку в его строке. Отобразится окно изменения поля.
Внесите требуемые изменения в настройки поля.
Нажмите на кнопку Сохранить. Измененные данные поля будут сохранены.

Чтобы удалить добавленное поле, нажмите на кнопку trash в его строке. Поле будет удалено из списка полей модели события.

Просмотр информации о модели события

Чтобы просмотреть информацию о модели события:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.

Название модели события отображается в верхней части рабочей области.

Чтобы закрыть список полей модели и вернуться в раздел Ресурсы → Модели событий, нажмите на кнопку Назад, расположенную над списком, или перейдите в раздел Ресурсы → Модели событий на боковой панели.

Над списком расположены следующие компоненты:

Кнопка позволяет изменить текущую модель.
Кнопка позволяет удалить текущую модель.
Кнопка позволяет экспортировать текущую модель.
Кнопка позволяет создать новую модель на базе текущей.
Переключатель статуса позволяет включить или выключить текущую модель.
Идентификатор и описание модели предоставляют краткую информацию о ее предназначении.
Поле Поиск предназначено для быстрого поиска полей в списке по ключу.

Список полей модели представлен в виде таблицы со следующими столбцами:

Ключ поля — уникальный ключ идентификации поля.
Описание — краткое описание функциональности поля.
Тип поля — тип поля:
- Служебное — поле, создаваемое системой автоматически.
- Регулярное — поле, добавленное в модель события вручную.
Тип данных — тип данных значений, хранящихся в поле модели события.
Параметры типа данных — дополнительные параметры значений поля, зависящие от выбранного типа данных:
- для UInt — разрядность;
- для KeyValue — тип данных значения в KeyValue-паре;
- для Enum — список ключей и их значений;
- для Array — тип данных элементов массива.
Поле хранящее название — ключ поля, определяющего семантику названия текущего поля.
Может быть null — возможность хранить значение типа null в поле модели события.
Отображать поле — отображение поля при просмотре списка событий модели. Чтобы поле отображалось, переведите переключатель в активное положение. По умолчанию отображаются следующие поля:
- для универсальной модели события: timestamp, dvendor, dproduct, name, msg, dvc, outcome;
- для универсальной модели 2.0: timestamp, device_product, device_hostname, description, focus;
- для модели события аудита: timestamp, raw, suser, eventType, moduleKey, eventRiskLevel, data, meta;
- для пользовательской модели события: id, type, timestamp, sourceIp.

При работе с таблицей доступен поиск полей по их ключу.

Включение модели события

Включение и выключение доступно только для моделей событий с типом Пользовательская.

Для того чтобы модель события можно было использовать при создании хранилища событий, ее нужно включить.

При создании модель события включается автоматически.

Чтобы включить модель события:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.
Переведите переключатель состояния модели события, расположенный над списком полей модели, в активное положение. Система включит модель и отобразит соответствующее уведомление. Модель события появится в списке доступных моделей при создании хранилища событий.

Чтобы выключить работающую модель события:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.
Переведите переключатель состояния модели события, расположенный над списком полей модели, в неактивное положение. Отобразится окно подтверждения выключения модели события.
Нажмите на кнопку Подтвердить. Система выключит модель и отобразит соответствующее уведомление. Модель события исчезнет из списка доступных моделей при создании хранилища событий.

Изменение модели события

Изменение доступно только для моделей событий с типом Пользовательская.

Чтобы изменить модель события:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.
Нажмите на кнопку , расположенную над списком полей модели. Отобразится окно редактирования модели события.
Внесите требуемые изменения в настройки модели события.
Нажмите на кнопку Сохранить. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится в карточке и списке моделей.

Импорт модели события

Для загрузки модели события в систему применяется функционал импорта, поддерживающий обработку файлов в формате JSON.

Чтобы импортировать модель событий:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на кнопку на панели инструментов. Система отобразит окно импорта модели события.
Нажмите Выбрать файл () и выберите файл модели в формате JSON.
Нажмите на кнопку Импортировать. Начнется валидация и импорт моделей. Система отобразит окно с итогами импорта.

Модель будет успешно импортирована, если соответствует следующим критериям:

Идентификатор модели не совпадает с идентификаторами моделей, уже существующих в системе.
Ключи полей уникальны и содержат только латинские буквы, цифры и подчеркивания, при этом не начинаются с цифры.
В полях указаны корректные значения.
Поля типов LCString, Array и KeyValue не содержат пустых значений.
Поля с измененной семантикой ссылаются на существующие поля.

Экспорт модели события

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.
Нажмите на кнопку , расположенную над списком полей модели. Система загрузит данные модели на устройство пользователя в формате JSON и отобразит соответствующее уведомление.

Создание новой модели события на базе текущей

Чтобы создать новую модель события на базе текущей:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.
Нажмите на кнопку , расположенную над списком полей модели. Отобразится окно создания новой модели события, в котором автоматически будут добавлены все поля текущей модели.
Введите название модели события.
Введите описание модели события.
При необходимости измените состав полей новой модели события.
Нажмите на кнопку Создать. Система создаст модель события и отобразит соответствующее уведомление. Новая модель появится в списке раздела Ресурсы → Модели событий.

Удаление модели события

Удаление доступно только для моделей событий с типом Пользовательская.

Удаление недоступно для моделей событий, используемых в других сущностях системы.

Чтобы удалить модель события:

Перейдите в раздел Ресурсы → Модели событий. Система отобразит сведения об имеющихся моделях событий.
Нажмите на строку модели события в списке. Система отобразит в рабочей области список полей, содержащихся в этой модели.
Нажмите на кнопку , расположенную над списком полей модели. Отобразится окно подтверждения удаления модели события.
Нажмите на кнопку Удалить. Система удалит модель события и отобразит соответствующее уведомление. Удаленная модель будет исключена из списка.