Настройка конфигурации актива
Все конфигурации активов, созданные до версии 5.0, будут использовать старый алгоритм расчета.
Подробнее об обновлении описано в разделе Миграция конфигурации актива
Для корректной работы обновленного алгоритма расчета необходимо настроить взаимодействие с Postgres, подробнее описано здесь.
Описание настроек конфигурации актива
Управление конфигурациями
Для создания новой или редактирования существующей конфигурации необходимо нажать на кнопку Создать или в разделе Действия нажать на пункт Редактировать. После этого откроется форма создания (или редактирования) конфигурации:
Перечень настроек, которые составляют создаваемую конфигурацию:
Общие настройки- общая информация по активуПоля— поля, которые составляют основную информацию по активу, разделяются на базовые и дополнительныеИсточники— список источников, которые используются для создания базы активов, а также включает в себя создание правила сопоставления полей источников и базовых/дополнительных полейСвязывание— поля источников, где настраивается их связьПриоритизация— правило, которое определяет приоритет извлечения базовых/дополнительных полей из источников
При создании конфигурации, по умолчанию, будет использоваться обновленный алгоритм расчета.
Для выбора старого алгоритма расчета доступен переключатель Использовать новый алгоритм, его нужно перевести в неактивное положение.
Общие настройки
Вкладка общие настройки состоит из таких разделов, как:
Основное- содержит в себе настройки имени конфигурации и названия хранилищаРасписание- содержит в себе настройку периодичности запуска фоновой задачи по сбору активов.примечаниеНа выбор доступны следующие типы расписаний:
ИнтервалилиCron-выражение.примечаниеОсновноеиРасписаниеявляются обязательными к заполнению полями.Настройки актива- содержит в себе настройку имени актива и времени жизни активаНастройки отображения- содержит настройки для визуализации конфигурации актива или самих активов в различных частях интерфейса (изображение и цвет)Параметры запуска- содержит настройки, используемые при формировании базы активов (пакетные изменения, использование индекса, использование репликации и т.д.)
Параметр Имя актива поддерживает токены на основе базовых и дополнительных полей. Пример использования: $hostname$ - $os$.
В поле Время жизни актива можно ввести целое число от 1 с указанием единицы времени (s - секунды, m - минуты, h - часы, d - дни). Значение не может быть составным. Примеры: 20h, 2d, 30s.
Раздел Настройка отображения и опция Включить репликацию данных в индекс доступны только для конфигураций с обновленным алгоритмом расчета!
Опции параметров запуска Пакетные изменения, С использованием индекса, Объединять с пустыми и Только быстрый поиск доступны только для конфигураций со старым алгоритмом расчета!
При включении параметра репликации данных в индекс, база активов, сформированная фоновой задачей расчетного модуля, будет скопирована в индекс в соответствии со структурой старого алгоритма расчета.
Если индекса ранее не было, он будет создан автоматически.
Поля
Вкладка поля состоит из настройки полей актива. Каждое поле имеет следующий набор атрибутов:
-
Базовое поле- флаг, определяющий является ли поле базовым или дополнительным -
Название поля- техническое имя поля актива, которое будет участвовать в расчетах (не может дублироваться) -
Отображаемое название (опционально)- отображаемое в интерфейсах наименование поля -
КоэффициентпримечаниеКоэффициент базового поля определяет степень влияния поля на сходство двух активов. Используется в момент, когда из событий источника получен актив и нужно принять решение о том, создавать новый актив в базе или обновить существующий. Решение принимается путем вычисления коэффициента сходства двух активов.
Сходство определяется через коэффициент сходства k рассчитываемый по формуле k = c/(a+b-c), где:
-
c - количество совпадающих базовых полей у существующего и нового актива
-
a - количество базовых полей существующего актива
-
b - количество базовых полей нового актива.
Активы считаются схожими, если k >= 0.5 при b <= 5 или если k >= 0.554 при b > 5. Коэффициент базового поля умножает присутствие поля в суммах a, b и c. Если коэффициент равен 0, то поле не учитывается в суммах. Если коэффициент равен 1, то поле учитывается в суммах по одному разу. Если коэффициент указан n, то поле будет учитываться в суммах n раз.
-
Для дополнения нового поля воспользуйтесь кнопкой Добавить поле.
Пример добавленных полей во вкладке Поля:
Источники
Чтобы добавить источник, необходимо нажать на кнопку Добавить источник, после чего появится подменю, которое необходимо раскрыть для его настройки.
Настройка источника состоит из следующих пунктов:
-
Наименование источника в активах— наименование источника -
Индекс— где хранится необходимая информацияОбратите внимание!Количество полей конфигурации может превысить лимит вычисляемых полей для индекса. Если количество вычисляемых полей индекса меньше чем количество полей конфигурации актива, необходимо увеличить параметр
max_script_fieldsдля индекса.Сделать это можно следующей командой:
PUT <index>/_settings
{
"index" : {
"max_script_fields" : <value>
}
} -
Фильтр— выражение, по которому будет осуществляться фильтрация (в формате:<поле>="значение" AND/OR другое выражение) -
Временной интервал— интервал времени, за который производится выборка данных из источника для ограничения их объемапримечаниеВ поле
Временной интервалуказывается величина интервала фильтра в видеинтервалаилипаттернапо полю@timestamp(по умолчанию). Интервал может быть задан глобально для всех источников в конфигурации или индивидуально для каждого источника.Величина интервала указывается как положительное число единиц времени, таких как 90d (90 дней), 24h (24 часа), 15m (15 минут). Поддерживаются следующие единицы времени:
m- минута,h- час,d- день,w- неделя,M- месяц,y- год. Подробнее о единицах времени можно узнать вдокументации OpenSearch.Если временной интервал указан в минутах, то правая граница фильтра соответствует текущему моменту (
now), иначе правая граница равна началу предыдущего часа (now-1h/h). Левая граница вычисляется как разность правой границы и временного промежутка.В фильтр попадают все документы источника у которых
@timestampбольше или равен левой границе и меньше либо равен правой границе фильтра. -
Автоопределение агрегированных полей- при включении будут использоваться поля агрегируемого типа (по умолчанию: включено) -
Правила сопоставления полей— маппинг, по которому идет сопоставления полей из источника и полей, которые были указаны в параметрахБазовые поляиДополнительные поля
Для дополнения маппинга воспользуйтесь кнопкой Добавить поле.
Пример настроенного источника во вкладке Источники:
Связывание
Чтобы заполнить информацию по ключевым полям, необходимо нажать на кнопку Добавить, после чего появится строка настройки.
Настройка ключевого поля состоит из следующих пунктов:
Источники для связывания— какие источники необходимо связывать, берутся из вкладкиИсточникиПоля связывания— выбор полей, которые были указаны в параметрахБазовые поляиДополнительные поля
Пример настройки связывания конфигурации:
Приоритизация
Чтобы заполнить информацию по приоритизации, необходимо нажать на кнопку Добавить приоритет, после чего появится подменю, которое необходимо раскрыть для его настройки.
Настройка приоритета состоит из следующих пунктов:
Поле— по какому полю ведется приоритетПорядок извлечения поля— извлечение поля из источника по заданному приоритету
Чтобы дополнить правило приоритизации, нажмите на кнопку Добавить источник.
Уровень приоритета указывает порядковый номер извлечения поля из источника.
Значение поля в первую очередь извлекается из источника с наименьшим числовым значением уровня приоритета (наивысшим приоритетом).
В случае выставления одинаковых приоритетов, поле в активе будет представлено в виде массива.
Пример настроенной приоритизации:
