Вы можете использовать поля расширенной схемы событий в нормализаторах для нормализации событий и в других ресурсах KUMA, например, в качестве полей виджетов или для фильтрации и поиска событий. Список всех полей расширенной схемы событий, существующих в KUMA, доступен в разделе Параметры → Поля расширенной схемы событий. Список полей расширенной схемы событий единый для всех тенантов.
Просматривать таблицу полей расширенной схемы событий могут только пользователи с ролями Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик, Чтение общих ресурсов, Редактирование общих ресурсов.
Таблица Поля расширенной схемы событий содержит следующие данные:
Вы можете нажать на имя, чтобы изменить параметры поля расширенной схемы событий.
Вы можете перевести переключатель в положение Включено или Выключено, чтобы разрешить или запретить использование этого поля расширенной схемы событий в новых ресурсах. При этом выключенное поле все еще будет использоваться в уже работающих конфигурациях ресурсов, пока вы не удалите его из конфигурации вручную, а также будет доступно в списке столбцов таблицы в разделе События для работы со старыми событиями.
Выключить использование поля расширенной схемы событий может только пользователь с ролью Главный администратор.
Вы можете нажать на число, чтобы открыть панель с таблицей всех ресурсов и других сущностей KUMA, в которых используется это поле. Для каждой зависимости в таблице отображается название, тенант (только для ресурсов) и тип. Зависимости в таблице отсортированы по названию. Вы можете нажать на название зависимости, чтобы перейти на ее страницу (кроме макетов панели мониторинга, пресетов и сохраненных запросов пользователей).
Вы можете просмотреть зависимости поля расширенной схемы событий только от тех ресурсов и сущностей, к тенантам которых у вас есть доступ. Если у вас нет доступа к тенанту, соответствующие ресурсы не будут отображаться в таблице, но будут учитываться в количестве зависимостей.
По умолчанию таблица полей расширенной схемы событий отсортирована по убыванию даты обновления. При необходимости вы можете отсортировать таблицу, нажав на заголовок столбца и выбрав По возрастанию или По убыванию, а также воспользоваться контекстным поиском по имени поля.
По умолчанию в KUMA версии 3.4 и выше автоматически добавляются следующие служебные поля расширенной схемы событий:
KL_EventRoute, тип S – предназначено для хранения информации о маршруте события. Вы можете использовать это поле в нормализаторах, в качестве ключа или значения в активных листах, в правилах обогащения, в качестве поля запроса в правилах сбора и анализа данных, в корреляционных правилах. Вы не можете использовать это поле для детектирования источников событий.
KL_CorrelationRulePriority, тип N;KL_SourceAssetDisplayName, тип S;KL_DestinationAssetDisplayName, тип S;KL_DeviceAssetDisplayName, тип S;KL_SourceAccountDisplayName, тип S;KL_DestinationAccountDisplayName, тип S.Вы можете использовать эти служебные поля для поиска событий.
Вы не можете изменять, удалять, экспортировать и отключать служебные поля. Все поля расширенной схемы событий с префиксом KL_ являются служебными и управляются только c серверов "Лаборатории Касперского". Мы не рекомендуем использовать префикс KL_ в имени при добавлении новых полей расширенной схемы событий.