Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 11 Следующий »

Раздел предназначен для создания и управления каналами доставки, отправляющими события и проблемы во внешнюю систему мониторинга (SIEM).При наличии каналов доставки, система проводит проверку соответствия каждого события и проблемы установленным фильтрам. Если событие или проблема соответствует фильтрам, канал доставки отправляет данные в SIEM. Подробная информация о настройке формирования событий и проблем находится в соответствующих разделах под наименованиями "Правила генерации событий" и "Правила генерации проблем"

Во вкладке доступны следующие элементы управления:

  1. Кнопки фильтрации, обновления, настройки отображаемых колонок и экспорта таблицы в CSV-файл;

  2. Кнопка создания канала доставки;

  3. Кнопка удаления каналов доставки;
  4. Поле поиска по каналам доставки;
  5. Кнопка для открытия краткого руководства по поиску;
  6. Кнопки быстрой фильтрации по состоянию канала доставки (Включено/Выключено)
  7. Таблица каналов доставки.

Таблица содержит следующие поля:

  1. ID — номер канала доставки;
  2. Статус — состояние канала доставки;
  3. Название — название канала доставки;
  4. Описание — описание канала доставки;
  5. Дата последнего использования — дата последней отправки сообщений через канал доставки;
  6. Тип — тип протокола для регистрации сообщений о событиях и проблемах;
  7. Адрес — полный адрес внешней системы сбора событий;
  8. Включено — переключатель включения/выключения канала доставки;
  9. Формат — формат для сбора журналов событий и проблем. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
  10. Количество попыток — количество попыток для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок;
  11. Интервал между попытками, сек — временной промежуток в секундах между попытками для отправки сообщений во внешнюю систему. По умолчанию колонка скрыта. Для отображения активируйте соответствующий флаг в настройках отображаемых колонок.


Операции с каналами доставки

Для создания канала доставки нажмите кнопку "Создать".

Для редактирования существующего канала доставки нажмите на строку таблицы с каналом доставки.

Для удаления одного или нескольких каналов доставки выделите соответствующие каналы доставки с помощью флагов и нажмите кнопку Удалить.


Создание канала доставки

Для создания нового канала доставки необходимо нажать на кнопку "Создать", откроется окно "Создать канал доставки" с активной вкладкой "Общие настройки".

Поэтапно необходимо заполнить все разделы формы. По мере заполнения обязательных полей во вкладках их статус будет изменяться.

Форма содержит две вкладки:

  • Общие настройки — параметры для отправки сообщений во внешнюю систему;
  • Фильтры сообщений — параметры для фильтрации событий и проблем из ECCM при отправке во внешнюю систему.

Поля формы, доступные во всех вкладках:

  • Название — название канала доставки;
  • Описание — описание канала доставки.

Поля вкладки "Общие настройки" в форме:

  • Переключатель включения/выключения канала доставки;

  • Тип — тип протокола передачи записей журналов;

  • Формат — формат передачи данных;

  • Адрес сервера — адрес внешней SIEM-системы;

  • Порт — номер порта подключения;

  • Протокол — протокол передачи данных;

  • Количество попыток — число попыток отправки сообщения;

  • Интервал между попытками — временной промежуток между попытками в секундах.

При нажатии на вкладку "Фильтры сообщений" в форме появятся новые поля.

Поля вкладки "Фильтры сообщений" в форме:

  • Тип данных — тип передаваемых сообщений из ЕССМ во внешнюю систему ("события" и/или "проблемы");
  • Отправлять все актуальные проблемы — если опция включена, в SIEM будут отправлены все незакрытые проблемы, соответствующие установленным фильтрам;
  • Важность — уровень важности выбранных типов данных;
  • Тип устройства — тип устройства, для которого будут отправляться сообщения во внешнюю систему;
  • Область применения — группы/устройства, для которых формируются сообщения во внешнюю систему;

Тестирование канала доставки

При нажатии на кнопку "Отправить тестовое сообщение" отображается диалоговое окно "Доступность при тестировании (для {протокол})" со статусом отправленного сообщения.

При тестировании протокола UDP, статус доступности определить не является возможным в виду особенностей протокола.

Нажмите кнопку "Закрыть" для закрытия окна.

После заполнения всех обязательных полей выполните одно из следующих действий:

  • Нажмите кнопку "Создать" — канал доставки будет создан;
  • Нажмите кнопку "Отменить" — все настройки будут сброшены, диалоговое окно закроется.


Таблица событий для отправки во внешние SIEM-системы

Для отправки сообщений во внешнюю систему, ECCM использует тип протокола передачи Syslog и формат CEF.

Syslog -  протокол для сбора, передачи и хранения сообщений о событиях в компьютерных системах и сетях.

CEF - Common Event Format, текстовый формат, разработанный для поддержки различных типов устройств, предоставляющий актуальную информацию.

События из ЕССМ можно разделить на три блока:

  • TESTS — события тестовой отправки сообщения;
  • EVENTS —  события, соответствующие типу данных "События" из ЕССМ;
  • PROBLEMS — события, соответствующие типу данных "Проблемы" из ЕССМ.

Во внешнюю систему доставляются следующая информация:

CEF_SYSLOG_TIMESTAMP CEF_SYSLOG_HOST CEF:Version|Product Vendor|Product|Product Version|Event Type Id|Event Type_Name|Severity|msg|src|start|[end]|[shosts]|Rule_id|deviceId|groupId|modelId|modelName|[isClosed]


Поля CEF формата

Наименование поляОписаниеЗначение/пример значения
CEF VersionВерсия формата CEF, используемая для формирования сообщений.Константное значение — 0
Product VendorПроизводитель программного обеспечения.Константное значение - Eltex
ProductНазвание продукта, сгенерировавшего событие.Константное значение - ЕССМ
Product VersionВерсия продукта, сгенерировавшего событие.2.5.0.829959
Event Type IDСтепень важности сообщения в продукте, отправившего сообщение во внешнюю систему.
  • 0 — Неизвестная степень важности / Тестовое сообщение
  • 1 — Отладка
  • 3 — Информация
  • 4 — Уведомление
  • 5 — Предупреждение
  • 7 — Ошибка
  • 8 — Критическое
  • 9 — Тревога
  • 10 — Авария
Event Type NameНаименование типа данных, отправленного из продукта во внешнюю систему.
  • TESTS
  • EVENTS
  • PROBLEMS
SeverityСтепень важности сообщения для CEF формата. Значения аналогичны Event Type ID.10
msgОписание типа данных в продукте, отправившего сообщение во внешнюю систему. Редактируется на страницах формирования ПГС и ПГП."Устройство недоступно по SNMP"
srcIP-адрес устройства, сгенерировавшего тип данных.100.122.0.107
startStart Time: Время начала события (в миллисекундах с эпохи Unix).1765443533449
endEnd Time: Время завершения события (в миллисекундах с эпохи Unix). Относится только к типу данных продукта "Проблемы".1765443533449
shostsХостовое имя устройства, при его наличии, сгенерировавшего тип данных.hostname-device
Rule_idУникальный идентификатор правила, сформировавшего тип данных для отправки сообщения во внешнюю систему.1025
deviceIdУникальный идентификатор устройства, сгенерировавшего тип данных.108
groupIdУникальный идентификатор группы, в которой находится устройство в продукте.1
modelIdУникальный идентификатор модели устройства в продукте.269
modelNameНаименование устройства согласно его модели.WLC-3200
isClosedБулевое значение, указывающее на закрытие типа данных "Проблемы".
  • true
  • false



  • Нет меток