Перейти к основному содержимому
Версия: 4.2

Настройка конфигурации актива

Описание настроек

Страница конфигурации актива представляет собой таблицу существующих конфигураций активов. Таблицу можно сортировать по столбцам, фильтровать с помощью поля ввода Поиск. Присутствует возможность создать новую конфигурацию с помощью кнопки Создать новую конфигурацию актива, а также редактировать существующую посредством нажатия кнопки Редактировать в колонке Действия выбранной конфигурации. При необходимости, можно импортировать новую конфигурацию или экспортировать существующую с помощью кнопок Импорт и Экспорт в шапке таблицы.

Управление конфигурациями

Чтобы создать собственную конфигурацию или отредактировать существующую конфигурацию, необходимо нажать на кнопку Создать новую конфигурацию актива или в разделе Действия нажать на пункт Редактировать, после чего перед вами появится форма по созданию конфигурации (редактирование конфигурации выполняется аналогично).

Перечень полей в конфигурации

примечание

Все поля обязательны к заполнению.

Перечень полей, которые составляют создаваемую конфигурацию:

  • Общие настройки - общая информация по активу (название конфигурации, название актива, категория, индекс)
  • Базовые поля — поля, которые составляют основную информацию по активу
  • Дополнительные поля — поля, которые имеют необязательную информацию по активу
  • Источники — список источников, которые используются для создания базы активов, а также включает в себя создание правила сопоставления полей источников и базовых/дополнительных полей
  • Связывание — поля источников, где настраивается их связь
  • Приоритизация — правило, которое определяет приоритет извлечения базовых/дополнительных полей из источников
подсказка

Параметр Название актива поддерживает токены на основе базовых и дополнительных полей. Пример использования: $hostname$ - $os$.

Добавление нового источника

Чтобы добавить источник, необходимо нажать на кнопку Добавить источник, после чего появится подменю, которое необходимо раскрыть для его настройки.

Настройка источника состоит из следующих пунктов:

  • Название — наименование источника
  • Индекс источника — индекс, где хранится необходимая информация
  • Временной промежуток — в течение какого времени производится забор информации
    примечание

    В поле Временной промежуток указывается величина интервала фильтра по полю @timestamp. Фильтр используется для ограничения выборки данных из источника. Величина интервала указывается как положительное число единиц времени, таких как 90d (90 дней), 24h (24 часа), 15m (15 минут). Поддерживаются следующие единицы времени: m - минута, h - час, d - день, w - неделя, M - месяц, y - год. Подробнее о единицах времени можно узнать в документации OpenSearch. Если величина будет указана не корректно, то Inventory Processor выведет в лог сообщение об ошибке и применит значение 1h (1 час). Если временной промежуток указан в минутах, то правая граница фильтра соответствует текущему моменту (now), иначе правая граница равна началу предыдущего часа (now-1h/h). Левая граница вычисляется как разность правой границы и временного промежутка. В фильтр попадают все документы источника у которых @timestamp больше или равен левой границе и меньше либо равен правой границе фильтра.

  • Правила сопоставления полей — маппинг, по которому идёт сопоставления полей из источника и полей, которые были указаны в параметрах Базовые поля и Дополнительные поля
примечание

Для дополнения маппинга воспользуйтесь кнопкой Добавить поля.

Связывание

Чтобы заполнить информацию по ключевым полям, необходимо нажать на кнопку Добавить ключевое поле, после чего появится подменю, которое необходимо раскрыть для его настройки.

Настройка ключевого поля состоит из следующих пунктов:

  • Источники — какие источники необходимо связывать
  • Поля — выбор полей, которые было указаны в параметрах Базовые поля и Дополнительные поля

Приоритизация

Чтобы заполнить информацию по приоритизации, необходимо нажать на кнопку Добавить приоритет, после чего появится подменю, которое необходимо раскрыть для его настройки.

Настройка приоритета состоит из следующих пунктов:

  • Поле — по какому полю ведётся приоритет
  • Порядок извлечения поля — извлечение поля из источника по заданному приоритету
  • Чтобы дополнить правило приоритизации, нажмите на кнопку Добавить источник.
примечание

Уровень приоритета указывает порядковый номер извлечения поля из источника. Первое будет извлечено значение поля из источника с наименьшим значением уровня приоритета. В случае выставления одинаковых приоритетов, поле в активе будет представлено в виде массива.

Процесс настройки

Чтобы перейти на страницу списка конфигураций выберите пункт Активы в навигационном меню в разделе Inventory.

Страница списка конфигураций

Для настройки конфигурации необходимо нажать на кнопку Создать новую конфигурацию актива или в разделе Действия нажать на пункт Редактировать. Так осуществляется переход к форме настройки конфигурации.

Страница настройки конфигурации

После перехода к форме необходимо заполнить поля вкладки Общие настройки, затем задать базовые и дополнительные поля во вкладке Поля.

Настройка полей конфигурации

примечание

Коэффициент базового поля определяет степень влияния поля на сходство двух активов. Используется в момент, когда из событий источника получен актив и нужно принять решение о том, создавать новый актив в базе или обновить существующий. Решение принимается путем вычисления коэффициента сходства двух активов.

Сходство определяется через коэффициент сходства k рассчитываемый по формуле k = c/(a+b-c), где:

  • c - количество совпадающих базовых полей у существующего и нового актива
  • a - количество базовых полей существующего актива
  • b - количество базовых полей нового актива.

Активы считаются схожими, если k >= 0.5 при b <= 5 или если k >= 0.554 при b > 5. Коэффициент базового поля умножает присутствие поля в суммах a, b и c. Если коэффициент равен 0, то поле не учитывается в суммах. Если коэффициент равен 1, то поле учитывается в суммах по одному разу. Если коэффициент указан n, то поле будет учитываться в суммах n раз.

Во вкладке Источники добавить необходимые источники и заполнить их.

Настройка источников конфигурации

Во вкладке Связывание связать источники и поля при необходимости.

Настройка связывания конфигурации

Затем перейти во вкладку Приоритизация и настроить приоритеты полей.

Настройка связывания конфигурации

Когда все необходимые настройки будут заданы необходимо нажать кнопку Сохранить, после чего вы автоматически попадёте на страницу списка конфигураций и получите соответствующее уведомление.