Чтобы выяснить, от какого подключения поступили события, вы можете использовать параметр Отслеживать маршрут события. Необходимость отслеживать маршрут события может возникать, когда несколько агентов отправляют события в один и тот же коллектор, например в крупной инфраструктуре, где агенты устанавливаются на выделенные серверы WEC и несколько агентов передают события в один и тот же коллектор. Данные о маршруте события могут быть полезны для диагностики проблем с поступлением событий.
Чтобы переключатель Отслеживать маршрут события стал доступен для использования, в агенте следует указать как минимум одну точку назначения с типом internal. Также для отслеживания маршрута событий необходимо, чтобы в коллекторе, который принимает события от агента, был указан коннектор типа internal. После настройки и сохранения агента информация о маршруте агента будет добавлена в поле расширенной схемы событий S.KL_EventRoute.
Поле S.KL_EventRoute появится только для новых событий, которые поступили в коллектор после включения параметра Отслеживать маршрут события. Другие сервисы, через которые проходит событие, включая коллектор, коррелятор (только правила корреляции типа simple), маршрутизатор анализируют поле S.KL_EventRoute, и, если поле не пустое, при обработке события дописывают свои данные в поле.
Если между сервером отправителем и агентом есть прокси, в поле S.KL_EventRoute на агенте указывается адрес прокси, а коллектор добавляет адрес прокси в начальную часть маршрута в поле S.KL.EventRoute.
Коннекторы tcp/udp/http передают по протоколу internal в поле S.KL_EventRoute адрес хоста, который прислал событие. Если между сервером отправителем и агентом был прокси, в поле S.KL_EventRoute будет указан прокси. Агенты WEC, WMI и ETW передает по протоколу internal в поле S.KL_EventRoute имя хоста Windows сервера, на котором установлен агент.
Вы можете включить отслеживание маршрута события одним из следующих способов:
В карточке события, в карточке алерта и карточке корреляционного события появится раздел Журнал отслеживания событий. В этом разделе отображается информация из поля S.KL_EventRoute в обработанном виде. Идентификаторы сервисов преобразованы в имена сервисов в виде ссылки. Если вы нажмете на имя сервиса, в браузере откроется новая вкладка с карточкой сервиса. Если вы измените название сервиса, имя сервиса также поменяется при отображении в карточке события, причем как для новых событий, так и для уже полученных и обработанных событий. Если вы удалите сервис в разделе Активные сервисы, в карточках событий в разделе Журнал отслеживания событий вместо гиперссылки будет отображаться Удален. Остальные данные о маршруте не будут удалены и будут по-прежнему отображаться: тип коннектора, FQDN, значение поля SourceAddress. Чтобы просмотреть данные о маршруте в сыром виде, вы можете добавить в таблице событий столбец S.KL_EventRoute.
Использование информации о маршруте
Вы можете использовать функцию Extract from JSON или другие функции ClickHouse, чтобы получить нужные части маршрута для отладки. Подробнее о функциях см. в документации ClickHouse по ссылке: https://clickhouse.com/docs/ru/sql-reference/functions/json-functions#jsonextractstringjson-indices-or-keys
В таблице ниже приведены примеры запросов.
Пример запроса |
Описание |
|
В результате этого запроса отобразятся события, для которых в столбце version отображается версия коллектора. |
|
В результате этого запроса отобразятся события, для которых в столбце connectorKind отображается тип коннектора. |
|
В результате этого запроса отобразятся события, полученные от коннекторов с типом, отличным от wec. |
Если вам нужна выборка по другому значению из поля S.KL_EventRoute, вы можете посмотреть наименование необходимого параметра в таблице событий в столбце Raw, чтобы использовать его в запросе.
В начало