Актуально для KUMA 3.0+
В KUMA 3.0.2 появилась возможность создания кастомных полей типа "массив" (SA, NA, FA), доступные для методов парсинг JSON и KV. Чтобы записать массив в дополнительное поле, достаточно его указать в маппинге:  В событии это будет выглядеть следующим образом:  Если с массивом в таком случае работать не удобно и нужно все элементы из массива "склеить" через делиметр и записать в отдельное поле, можно воспользоваться обогащением. Для этого сначала массив мапится на строковое поле:  В таком случае в событии данное поле будет представлять собой массив переведенный в строку:  Чтобы привести ее в более "приятный" вид можно выполнить следующие преобразования:  После этого в DeviceCustomString1 будут записаны все элементы массива через выбранный в последнем (3) преобразовании делиметр (в данном примере это "пробел"):  --- ### Передача сырого события в экстранормализатор, для доступа к элементам массиваАктуально для KUMA 3.0+
Для передачи «сырого» события в экстра-нормализатор необходимо: - открыть нормализатор событий; - перейти в меню «Условия дополнительной нормализации»; - активировать параметр «Использовать сырое событие».По умолчанию параметр «Использовать сырое событие» не активен.
[](https://kb.kuma-community.ru/uploads/images/gallery/2024-03/lU1image.png) Рекомендуется активировать параметр «Использовать сырое событие» в нормализаторах типа **«xml», «json»**. Для передачи «сырого» события в экстра-нормализатор второго, третьего и более глубоких уровней вложенности необходимо последовательно включить параметра «Использовать сырое событие» в каждом экстра-нормализаторе по пути следования события в целевой экстра-нормализатор и непосредственно в целевом экстра-нормализаторе. В качестве примера работы данной функции вы можете обратиться к нормализатору Microsoft Products для KUMA 3.0.1: параметр «Использовать сырое событие» включен последовательно в экстра-нормализаторах «AD FS» и «424». В качестве примера, событие: *<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='ESENT'/><EventID Qualifiers='0'>216</EventID><Level>4</Level><Task>3</Task><Keywords>0x80000000000000</Keywords><TimeCreated SystemTime='2024-01-20T20:06:07.144730300Z'/><EventRecordID>870234</EventRecordID><Channel>Application</Channel><Computer>COMPANY.COM</Computer><Security/></System><EventData><Data>lsass</Data><Data>724,R,98</Data><Data></Data><Data>C:\\Windows\\NTDS\\ntds.dit</Data><Data>\\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy50\\Windows\\NTDS\\ntds.dit</Data></EventData></Event>* При парсинге ID события 216: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-03/6ssimage.png) Будет корректно разбираться: [](https://kb.kuma-community.ru/uploads/images/gallery/2024-03/Wizimage.png) --- ### Смена порядка следования экстранормализаторовМатериал был предостален пользователем комьюнити ❤️
По умолчанию в GUI KUMA отсутствует возможность перемещать экстранормализаторы внутри правила нормализации и менять их местами. Однако, в ряде случаев данная операция всё же требуется. Например, когда нужно добавить блок с экстранормализатором выше уже существующих, так как они проверяются последовательно. Через веб-интерфейс это сделать проблематично, т.к. потребуется удаление и пересоздание заново всех блоков экстранормализаторов идущих ниже.  Ниже описан workaround, который позволяет получить нужное правило нормализации в виде JSON файла из MongoDB и отредактировать его, задав нужную последовательность экстранормализаторов.**Необходимые меры предосторожности**: 1. Все действия по подготовке нужного правила настоятельно рекомендуется выполнять на тестовом стенде (не на продуктовой инсталляции), так как предполагается прямой доступ и запись данных в MongoDB (основную базу настроек KUMA). Нельзя исключать риск нарушения работы инсталляции KUMA из-за возможных ошибок. 2. Предварительно рекомендуется сделать выгрузку контента и бэкап самой базы: средствами kuma tools (old), по API или через утилиту mongodump.
1\. Разместить на стенде KUMA правило нормализации, которое будет подлежать редактированию. Открыть его в браузере и скопировать его UUID из строки URL. Необходимые утилиты под вашу ОС можно загрузить отсюда: [https://www.mongodb.com/try/download/database-tools](https://www.mongodb.com/try/download/database-tools) Документация по утилитам: [https://www.mongodb.com/docs/v4.2/reference/program/](https://www.mongodb.com/docs/v4.2/reference/program/)
2\. C помощью встроенной консольной утилиты mongoexport выполнить подключение к базе kuma и экспорт нужного правила нормализации в файл: ```bash /opt/kaspersky/kuma/mongodb/bin/mongoexport --db=kuma --collection=resources --query='{"_id": "your_normalizer_id"}' > normalizer.json ``` Пример успешного экспорта:  3\. Открыть полученный JSON файл в редакторе, поддерживающим форматирование JSON и работу с объектами (например, Notepad++ c плагином JSTool). ― Сразу поменять uuid в полях "\_id", "exportID", "id" на новый. Он должен быть уникальным в рамках всех остальных ресурсов KUMA для успешного импорта правила обратно. Сгенерировать UUID: cat /proc/sys/kernel/random/uuid ― Сразу поменять значение поля "name", задав новое название правила или его версию. ― Найти в структуре файла блок "extra", содержащий экстранормализаторы. Развернуть его и выполнить поиск нужного блока экстранормализации который требуется переместить.  4\. В блоке "extra" найти по нужный экстранормализатор, выделить и скопировать его код целиком, ориентируясь на открывающую скобку перед полем "normalizer" и соответствующую закрывающую скобку.  5\. Вставить скопированный код в нужное место в блоке "extra". Например, в его начале или между требуемых экстранормализаторов (зависит от нужного вам порядка их следования). Проверить, что все скобки { } на месте. 6\. Сохранить получившийся JSON файл, перенести его обратно на сервер с KUMA Core и выполнить его импорт в MongoDB: ```bash /opt/kaspersky/kuma/mongodb/bin/mongoimport --db kuma --collection resources --file new_normalizer.json ``` Пример успешного импорта:  7\. Зайти в веб-интерфейс KUMA и проверить наличие отредактированного нормализатора (в том же тенанте и папке, т.к. они не менялись)  Результат: изменён порядок следования экстранормализаторов без их удаления и пересоздания вручную через веб-интерфейс  #### Альтернативный вариант с VS CodeПотребуется приложение: [https://code.visualstudio.com/](https://code.visualstudio.com/) и плагин для работы с MongoDB: [https://marketplace.visualstudio.com/items?itemName=mongodb.mongodb-vscode](https://marketplace.visualstudio.com/items?itemName=mongodb.mongodb-vscode)
Также можно использовать клиент MongoDB Compass для подключения к MongoDB: [https://www.mongodb.com/products/tools/compass](https://www.mongodb.com/products/tools/compass)
Рекомендуется работать с копией / дубликатом ресурса, чтобы предотвратить возможные проблемы
1\. Подключение к монго через SSH:   Прописываем адрес, логин и пароль для SSH:  2\. Заходим в БД kuma  3\. Переходим в коллекцию resoureces и нажимаем на значок поиска  4\. Ищем ресурс по имени или ID (кому как удобно):  5\. Переходим в режим редактирования и далее можно перемежать блоки JSON нормализатора и других ресурсов, как вам удобно, для сохранения используте комбинацию клавиш Ctrl+S: 