Работа с агрегаторами

Данный раздел описывает процесс работы с агрегаторами на конвейерах в системе. Работа осуществляется при настройке конфигурации конвейера.

Об агрегаторах

Агрегатор — это элемент конвейера, который использует правила агрегации для объединения и анализа групп событий безопасности. Каждое правило агрегации включает в себя критерии для группировки событий, условия начала и завершения агрегации, а также стратегии агрегации для каждого поля. Агрегация инициируется в соответствии с условиями, определенными в правилах, и преобразует входящий поток событий в агрегированные данные.

На диаграмме конфигурации конвейера агрегатор имеет один вход и один выход. Агрегатор на входе принимает поток событий, производит их агрегацию и выдает агрегированные события на выходе.

Доступные операции над агрегатором:

Добавление агрегатора

Чтобы добавить агрегатор на конфигурацию конвейера:

  1. Перейдите в конфигурацию требуемого конвейера.

  2. Удостоверьтесь, что в выпадающем списке Версия на панели инструментов в окне конфигурации конвейера выбран вариант Черновик.

  3. Нажмите на кнопку Добавить элемент и выберите из выпадающего списка пункт Агрегатор. Отобразится окно добавления агрегатора.

  4. Введите название агрегатора.

  5. Добавьте в агрегатор правила агрегации.

    Чтобы добавить правило агрегации:

    1. Раскройте дерево каталогов в левой части окна и выберите каталог, который содержит нужное правило агрегации.

    2. Установите флажок слева от правила агрегации, которое необходимо добавить в агрегатор.

  6. Нажмите на кнопку Добавить. Новый агрегатор отобразится на диаграмме конфигурации.

Если в добавленных правилах содержатся отсутствующие активные списки или таблицы обогащения, система отобразит список ошибок с указанием ID и названий правил.

Чтобы добавить конфигурацию с правилами, где обнаружены ошибки, установите флажок Игнорировать ошибки. Если флажок не установлен, правила с ошибками будут исключены.

Нажмите на кнопку Готово, чтобы сохранить конфигурацию.

Изменение агрегатора

Способ изменения идентичен для всех элементов конвейера и приведен в разделе Работа с конвейерами.

Удаление агрегатора

Способ удаления идентичен для всех элементов конвейера и приведен в разделе Работа с конвейерами.

Настройка агрегатора

Настройка агрегатора выполняется при его добавлении или изменении.

В окне настроек агрегатора отображается список правил агрегации в выбранном каталоге. Список представлен в виде таблицы со следующими столбцами:

  • ID — уникальный идентификационный код правила агрегации, присваиваемый системой автоматически при его создании.

  • Название — имя правила агрегации, используемое для его идентификации в системе.

  • Теги — пользовательские теги, присвоенные данному правилу агрегации.

  • Версия — версия правила агрегации, представленная в формате SemVer v2.0.

При работе с таблицей правил агрегации доступны следующие операции:

  • Поиск правил по полям ID, Название и Теги.

  • Фильтрация правил по тегам. Теги выбираются из выпадающего списка.

    Также доступна фильтрация по наличию правил в агрегаторе с помощью флажка Добавлено в агрегатор. При установке флажка в таблице отображаются только правила, уже добавленные в агрегатор.

  • Сортировка правил по полям ID, Название и Версия.

В окне настроек доступен функционал просмотра и добавления правил агрегации, а также обновления их версии.

Доступные операции по настройке агрегатора:

Просмотр правила агрегации

Чтобы просмотреть конфигурацию правила агрегации из окна настройки агрегатора, нажмите на ID соответствующего правила в списке. Система отобразит окно просмотра выбранного правила в новой вкладке браузера.

Добавление правил агрегации

Чтобы добавить правило агрегации в агрегатор:

  1. Раскройте дерево каталогов в левой части окна настроек агрегатора и выберите каталог, который содержит нужное правило агрегации.

  2. Установите флажок слева от правила агрегации, которое необходимо добавить в агрегатор.

Обновление версии правила агрегации

Обновление версий возможно только для правил, которые уже были добавлены в агрегатор ранее.

Вы можете обновить правила следующими способами:

  • Обновить одно конкретное правило. Для этого нажмите на кнопку refresh в правой части строки правила.

  • Обновить сразу все правила. Для этого нажмите на кнопку refresh справа от поля поиска над таблицей.

Кнопка refresh отображается, если существует более новая версия добавленного правила.
Вы можете также выбрать последнюю версию правила в выпадающем списке версий.

Изменение версии правила агрегации

Чтобы установить другую версию правила агрегации:

  • Нажмите на кнопку редактирования edit в правой части строки правила в списке.

  • Выберите нужную версию в выпадающем списке и нажмите на кнопку Сохранить. В рамках агрегатора будет установлена выбранная версия правила.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь