Раздел предназначен для создания и управления каналами доставки, отправляющими события и проблемы во внешнюю систему мониторинга (SIEM). При наличии каналов доставки система производит проверку соответствия каждого события и проблемы установленным фильтрам. Если событие или проблема соответствует фильтрам, канал доставки отправляет данные в SIEM. Подробная информация о настройке формирования событий и проблем находится в соответствующих разделах "Правила генерации событий" и "Правила генерации проблем".

Во вкладке доступны следующие элементы управления:

  1. Кнопки фильтрации, обновления, настройки отображаемых колонок и экспорта таблицы в CSV-файл;

  2. Кнопка создания канала доставки;

  3. Кнопка удаления каналов доставки;
  4. Поле поиска по каналам доставки;
  5. Кнопка для открытия краткого руководства по поиску;
  6. Кнопки быстрой фильтрации по состоянию канала доставки (Включено/Выключено);
  7. Таблица каналов доставки.

Таблица содержит следующие поля:

  1. ID — номер канала доставки;
  2. Статус — состояние канала доставки;
  3. Название — название канала доставки;
  4. Описание — описание канала доставки;
  5. Дата последнего использования — дата последней отправки сообщений через канал доставки;
  6. Тип — тип протокола для регистрации сообщений о событиях и проблемах;
  7. Адрес — полный адрес внешней системы сбора событий;
  8. Включено — переключатель включения/выключения канала доставки;
  9. Формат — формат для сбора журналов событий и проблем. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
  10. Количество попыток — количество попыток для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
  11. Интервал между попытками, сек — временной промежуток в секундах между попытками для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок.

Операции с каналами доставки

Для создания канала доставки нажмите кнопку "Создать".

Для редактирования существующего канала доставки нажмите на строку таблицы с каналом доставки.

Для удаления одного или нескольких каналов доставки выделите соответствующие каналы с помощью флагов и нажмите кнопку "Удалить".

Создание канала доставки

Для создания нового канала доставки нажмите на кнопку "Создать": откроется окно "Создать канал доставки" с активной вкладкой "Общие настройки".

Поэтапно заполните все разделы формы. По мере заполнения обязательных полей во вкладках их статус будет изменяться.

Форма содержит две вкладки:

Поля формы, доступные во всех вкладках:

Поля вкладки "Общие настройки":

Вкладка "Фильтры сообщений" выглядит следующим образом:

Поля вкладки "Фильтры сообщений":

Тестирование канала доставки

При нажатии на кнопку "Отправить тестовое сообщение" отображается диалоговое окно "Доступность при тестировании (для {протокол})" со статусом отправленного сообщения.

При тестировании протокола UDP определить статус доступности не представляется возможным ввиду особенностей протокола.

Нажмите кнопку "Закрыть".

После заполнения всех обязательных полей выполните одно из следующих действий:


Таблица событий для отправки во внешние SIEM-системы

Для отправки сообщений во внешнюю систему ECCM использует тип протокола передачи Syslog и формат CEF.

Syslog — протокол для сбора, передачи и хранения сообщений о событиях в компьютерных системах и сетях.

CEF (Common Event Format) — текстовый формат, разработанный для поддержки различных типов устройств, предоставляющий актуальную информацию.

События из ЕССМ можно разделить на три блока:

Во внешнюю систему доставляется следующая информация:

CEF_SYSLOG_TIMESTAMP CEF_SYSLOG_HOST CEF:Version|Product Vendor|Product|Product Version|Event Type Id|Event Type_Name|Severity|msg|src|start|[end]|[shosts]|Rule_id|deviceId|groupId|modelId|modelName|[isClosed]


Поля формата CEF

Наименование поляОписаниеЗначение/пример значения
CEF VersionВерсия формата CEF, используемая для формирования сообщений.0 (константное значение)
Product VendorПроизводитель программного обеспечения.Eltex (константное значение)
ProductНазвание продукта, который сгенерировал событие.ЕССМ (константное значение)
Product VersionВерсия продукта, который сгенерировал событие.2.5.0.829959
Event Type IDТип данных, отправленных во внешнюю систему.
  • 0 — TESTS
  • 1 — EVENTS
  • 2 — PROBLEMS
Event Type NameНаименование типа данных, отправленного из продукта во внешнюю систему.
  • TESTS
  • EVENTS
  • PROBLEMS
SeverityСтепень важности сообщения, установленная в продукте.
  • 0 — Неизвестная степень важности/Тестовое сообщение
  • 1 — Отладка
  • 3 — Информация
  • 4 — Уведомление
  • 5 — Предупреждение
  • 7 — Ошибка
  • 8 — Критическое
  • 9 — Тревога
  • 10 — Авария
msgОписание типа данных в продукте, который отправил сообщение во внешнюю систему. Редактируется на страницах формирования ПГС и ПГП."Устройство недоступно по SNMP"
srcIP-адрес устройства, которое сгенерировало тип данных.100.122.0.107
startStart Time: Время начала события (в миллисекундах с эпохи Unix).1765443533449
endEnd Time: Время завершения события (в миллисекундах с эпохи Unix). Относится только к типу данных продукта "Проблемы".1765443533449
shostsХостовое имя устройства (при наличии), которое сгенерировало тип данных.hostname-device
Rule_idУникальный идентификатор правила, которое сформировало тип данных для отправки сообщения во внешнюю систему.1025
deviceIdУникальный идентификатор устройства, которое сгенерировало тип данных.108
groupIdУникальный идентификатор группы, в которой находится устройство в продукте.1
modelIdУникальный идентификатор модели устройства в продукте.269
modelNameНаименование устройства согласно его модели.WLC-3200
isClosedБулево значение, указывающее на закрытие типа данных "Проблемы".
  • true
  • false