Events Viewer Tab

Руководство пользователя по системе управления событиями (Events Tab) #

Добро пожаловать в Руководство пользователя по системе управления событиями – продвинутому инструменту для обработки, поиска и управления событиями в режиме реального времени.

Система основана на событиях Suricata и использует Redis для хранения данных. Это руководство содержит всю необходимую информацию для эффективного взаимодействия с системой и её функционалом.

Обзор системы #

Система управления событиями предоставляет мощное серверное решение для анализа и управления сетевыми инцидентами безопасности.

Она взаимодействует через RESTful API и разработана для интеграции в веб-приложения и системы мониторинга безопасности.

Ключевые функции #

Получение событий по типу #

Позволяет получать события по их типу (оповещения, логи и др.).

✅ Как работает:
Отправляется GET-запрос на /events/type/{event_type} с параметрами offset и limit для пагинации.

Поиск событий по имени #

Позволяет искать события по имени или уникальному идентификатору.

✅ Как работает:
Отправляется запрос /events/name/{event_name}, чтобы получить соответствующие данные о событии.

Подсчёт количества событий по типу #

Позволяет получить количество событий определённого типа.

✅ Как работает:
Отправляется GET-запрос на /events/count/{event_type}, чтобы получить целочисленное значение.

Детальная информация о событии #

Позволяет получить расширенные данные о событии по его уникальному идентификатору.

✅ Как работает:
Отправляется запрос /events/details/{event_type}/{event_id}, чтобы получить полную информацию о событии.

Удаление событий #

Позволяет удалить все события определённого типа из базы данных.

✅ Как работает:
Отправляется DELETE-запрос на /events/delete/{event_type}.

Расширенный поиск событий #

Позволяет фильтровать события по различным параметрам, таким как:

• IP-адрес источника
• IP-адрес назначения
• Порты
• Протокол

✅ Как работает:
Отправляется запрос /events/search с указанием необходимых параметров.

Получение событий за заданный временной диапазон #

Позволяет получить события за указанный временной интервал относительно текущего времени.

✅ Как работает:
Отправляется GET-запрос на /events/timeshift/{event_type}, указав временной сдвиг (в часах), offset и limit.

Поддержка CORS #

Все HTTP-ответы содержат CORS-заголовки (Cross-Origin Resource Sharing), что позволяет интегрировать API в различные клиентские среды и домены.

Обработка ошибок #

Система корректно обрабатывает ошибки и возвращает понятные сообщения в HTTP-ответах, что помогает при отладке и интеграции.

Конфигурация и настройка #

Конфигурация системы управляется через файл config++.conf, содержащий:

• Пути к файлу fast.log
• Параметры подключения к Redis

Получение содержимого журнала (fast.log) #

Система позволяет просматривать содержимое журнала fast.log, обеспечивая доступ к необработанным данным логов в реальном времени.

✅ Как работает:
Система читает файл запросом GET —  /fastlog, чтобы получить содержимое файла fast.log.

Советы по интеграции #

✔ Убедитесь, что ваше клиентское приложение корректно обрабатывает JSON-ответы, так как передача данных с сервером происходит в JSON-формате.

✔ Используйте CORS-заголовки, если API вызывается из веб-приложений, размещённых на разных доменах.

Заключение #

Данное руководство поможет вам эффективно использовать систему управления событиями.

Система предоставляет мощный набор инструментов для:

• Мониторинга и анализа событий безопасности
• Управления инцидентами
• Интеграции в существующие системы защиты

Благодаря гибкости и продвинутым возможностям аналитики, система позволяет оперативно реагировать на события и обеспечивать высокий уровень сетевой безопасности.