Logmanager dokumentace
Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Přepnout tmavý/světlý/automatický režim Zpět na domovskou stránku
  1. Logmanager dokumentace
  2. /
  3. WEB rozhraní
  4. /
  5. Parsery
  6. /
  7. Klasifikátory

Klasifikátory

Klasifikátory řeší identifikaci vstupních dat do systému Logmanager. Zprávy ze všech zařízení, serverů a služeb, které se posílají do Logmanageru, se musí v této sekci nadefinovat. Pokud není zařízení definováno, zpráva projde systémem, ale nedoplní se žádné doplňkové informace a neproběhne parsování zprávy.

Klasifikátory Seznam klasifikátorů zobrazuje všechny klasifikace, které jsou v systému definovány.

Tabulka zobrazuje všechny dostupné informace: Název (název klasifikace), Popis (popis klasifikace), Podmínka (podmínka, kterou musí příchozí zpráva splňovat) a Značky (více informací v kapitole: Značky).

Nad tabulkou jsou kolonky filtru, data lze filtrovat podle každého jednotlivého sloupce. V případě použití filtrů nad více sloupci se aplikuje podmínka AND.

Přehled klasifikátorů

Přehled klasifikátorů

Klasifikace může obsahovat jedno pravidlo, kdy pro jedno zařízení existuje pouze jedna klasifikace. V případě serverů lze klasifikace definovat tak, že jedna klasifikace obsahuje více pravidel pro všechny služby, které ze serveru odesílají zprávy do Logmanageru. Lze vytvářet klasifikace, kdy se pro jeden druh zařízení definuje seznam IP adres, ze kterých se odesílají zprávy do Logmanageru.

Pravidla pro klasifikátory

Klasifikátor musí obsahovat blok pro vytvoření celkové podmínky. V blockly schématu se nachází automaticky.

Klasifikátor může končit bloky:

  • pass to parser: konečný blok pro předání zprávy do parseru,
  • pass to template: konečný blok pro předání zprávy do další klasifikace.

Klasifikátory jsou v procesu zpracování setříděny podle názvů.

Pokud klasifikátor nekončí blokem pass to parser nebo pass to template, znamená to, že se zpráva automaticky předá do klasifikátoru, který následuje v abecedním pořadí.

Takto lze vytvořit řadu klasifikátorů, které obsahují různé podmínky. Pokud zpráva žádné podmínce nevyhoví, automaticky se zpráva dostane do posledního klasifikátoru, který může obsahovat obecná pravidla. Tím lze docílit toho, že se každá zpráva dostane do parseru a zpracuje se.

Příklad:

  • Klasifikátor 1:
    • obsahuje podmínky podle zdrojových IP adres,
    • např. pokud zpráva přišla z IP adresy 192.0.2.1, předej zprávu parseru cisco-asa.
    • pokud zpráva neskončila v žádné podmínce, pokračuje na Klasifikátor 2.
  • Klasifikátor 2:
    • obsahuje podmínky podle zdrojového jména programu,
    • např. pokud zpráva přisla z programu sshd, předej zprávu parseru openssh.
    • pokud zpráva neskončila v žádné podmínce, pokračuje na Klasifikátor 3.
  • Klasifikátor 3:
    • obsahuje obecné podmínky,
    • např. pokud zpráva začíná znaky {“, předej zprávu parseru json.

Přidání klasifikace

Pokud potřebujete přidat novou klasifikaci, klikněte v hlavní tabulce na zelenou ikonu plus v pravém horním rohu.

Přidání klasifikace

Přidání klasifikace

Přidání klasifikace XML

Přidání klasifikace XML

Do připraveného formuláře zadáte následující údaje:

  • název: název klasifikačního pravidla,
  • popis: popisek klasifikačního pravidla,
  • typ: typ klasifikace:
    • classifier: vytvoří se klasifikační pravidlo,
    • template: vytvoří se klasifikační šablona, více v kapitole Klasifikační šablona,
  • zdroj: odkud přichází vstupní data.

Po zvolení zdroje dat se zobrazí panel pro definici klasifikačního pravidla. Pravidla se vytvářejí pomocí Zpracování událostí pomocí blockly.

V ukázce je znázorněno pravidlo, které obsahuje podmínku „příchozí zpráva přišla z IP adresy 1.1.1.10“. Pokud podmínka platí, zpráva se předá parseru „apache“ a ke všem těmto zprávám se přidá uživatelská značka „webserver“.

Přidání klasifikace provedete kliknutím na tlačítko vytvořit, zrušení vyplněného formuláře a vrácení zpět na hlavní tabulku provedete kliknutím na tlačítko zrušit.

Editace klasifikace

Editace klasifikace se spustí kliknutím na modrou ikonu tužky, která je uvedena u každé klasifikace.

Editace klasifikace

Editace klasifikace

Editace klasifikace XML

Editace klasifikace XML

Nyní se zobrazí formulář shodný s formulářem pro přidání nové klasifikace.

Změnu klasifikace provedete kliknutím na tlačítko uložit, zrušení vyplněného formuláře a vrácení zpět na hlavní tabulku provedete kliknutím na tlačítko zrušit.

Nastavení testovací zprávy

Při editaci lze u klasifikátorů zadat testovací zprávu. Testovací okno vyžaduje, aby byla vložena stejná testovací zpráva jako je u Upozornění a ve formátu JSON.

Vložení testovací zprávy

Vložení testovací zprávy

Testovací zprávu lze získat v Logy ‣ Dashoboardy ‣ a pak otevřít jakýkoliv dasboard a najít si zprávu přijatou do Logmanager, kterou chcete testovat. Zprávu je nutné si zkopírovat ve formátu JSON, který najdete v přehledu události.

Příklad, jak získat testovací zprávu:

Otevřete si Logy ‣ Dashboardy ‣ a klikněte na Log overview. V dolní části najdete tabulku All Events, ve které kliknete na vámi zvolený řádek. V jeho popisu najdete v levém horním rohu tlačítko View, které přepíná zobrazení formátů. Přepnete na formát JSON a celou zprávu zkopírujete do testovacího okna.

Uvědomte si, že testovací okno zobrazuje pouze aktuální výsledek testovací zprávy vašeho konkrétního klasifikátoru. Zpráva bude pravděpodobně upravena u parser a lze ji také upravit u Upozornění.
Uvědomte si, že tagy nejsou v testovacím procesu odstraněny z testovací zprávy a konečná zpráva jich tak ve výsledku může obsahovat méně.

Smazání klasifikace

Smazání klasifikace se provede kliknutím na ikonu červeného křížku, který je uveden u každé klasifikace.

Smazání klasifikace

Smazání klasifikace

Po kliknutí na křížek se zobrazí dialogové okno Smazat klasifikátor a pro kontrolu se vypíše klasifikátor, který se má smazat. Pro pokračování a vymazání klasifikace klikněte na tlačítko ano, pro zrušení klikněte na tlačítko ne.