Работа с RQL-песочницей
Данный раздел описывает процесс работы с RQL-песочницей в системе R-Vision SIEM. Работа осуществляется в разделе Инструменты → RQL-песочница веб-интерфейса системы.
| Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор. |
Об RQL-песочнице
RQL-песочница — инструмент системы R-Vision SIEM, который с помощью RQL-запросов позволяет получить необходимые данные по хранящимся событиям и активным спискам. В отличие от раздела Поиск, в RQL-песочнице пользователь не ограничен полями модели события и может настраивать выводимый результат с помощью широкого набора команд и операторов языка RQL. Полученные результаты можно экспортировать из системы.
Интерфейс раздела
В верхней части раздела отображается название текущего хранилища событий или активного списка. Выбрать другое хранилище или список можно, нажав на стрелку справа от названия. Система отобразит выпадающий список доступных хранилищ и активных списков.
Панель инструментов включает в себя следующие компоненты:
-
Поле запроса предназначено для ввода RQL-запроса.
-
Поля периода предназначены для указания временного периода, по которому требуется искать данные.
-
Кнопка Поиск позволяет начать поиск событий по заданным параметрам.
При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только те события, что были найдены до прерывания поиска. -
Кнопка Экспортировать записи (
) позволяет экспортировать все найденные данные.
В рабочей области отображается таблица данных о событиях, найденных за указанный период. Колонки таблицы соответствуют полям, заданным с помощью операторов SELECT и/или GROUP BY.
Если в поисковом запросе операторы SELECT и GROUP BY отсутствуют, то в качестве колонок используются поля модели события выбранного хранилища.
|
При выборе конкретной записи в таблице в правой части рабочей области отображается ее карточка с детальной информацией. Карточка записи содержит поля, соответствующие колонкам таблицы.
В верхней части карточки содержится флажок Скрыть пустые поля события. При установленном флажке в карточке отображаются только непустые поля записи.
У заголовка карточки находится кнопка . При нажатии на кнопку осуществляется экспорт записи.
При работе с таблицей RQL-песочницы доступны следующие операции:
-
Сортировка записей по любому столбцу.
-
Обновление списка записей.
Поиск данных
Чтобы выполнить поиск по данным хранилища событий или активного списка:
-
Перейдите в раздел Инструменты → RQL-песочница.
-
Выберите из выпадающего списка в верхней части раздела хранилище событий, в котором требуется искать события.
-
Задайте критерии поиска данных о событиях:
-
Введите RQL-запрос в поле поиска. Доступно использование сложных запросов, например, с выбором данных по конкретным полям (
SELECT) и группировкой полученных результатов (GROUP BY).Example 1. Пример запросаSELECT count(id) as cnt, collectorId GROUP BY collectorId
При выполнении вышеприведенного запроса данные группируются по полю collectorId и высчитывается количество cnt записей в каждой группе. Результат выводится в таблицу с двумя колонками: cnt и collectorId.
При установке курсора в поле поиска отображается панель с 5 последними запросами. -
Настройте период поиска. Для этого выберите из выпадающего списка способ задания периода:
-
Последний период — задайте значение вручную или с помощью кнопок
и 
, после чего выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента. -
Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.
-
Часто используемые — выберите в разделе один из предлагаемых периодов.
Внизу выпадающего списка параметров для задания периода расположена секция История поиска. Система сохраняет здесь 5 последних поисковых запросов.
-
-
-
Нажмите на кнопку Поиск. Список данных, соответствующий заданным критериям, отобразится в таблице. Также под таблицей отобразятся количество найденных совпадений и время выполнения запроса.
При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только те данные, что были найдены до прерывания поиска.
| История запросов хранится в разделе Мониторинг RQL-запросов. |
Работа с записями
Вы можете просматривать и экспортировать найденные записи данных о событиях.
Просмотр записей
Чтобы просмотреть найденную запись:
-
Перейдите в раздел Инструменты → RQL-песочница. Система отобразит сведения о найденных записях данных.
-
Нажмите на строку записи в списке. Система отобразит в правой части экрана карточку этой записи с подробной информацией о ней.
Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.
Карточка записи содержит поля, заданные с помощью операторов SELECT и/или GROUP BY.
Если в поисковом запросе операторы SELECT и GROUP BY отсутствуют, то в карточке записи отображаются поля модели события выбранного хранилища.
|
В верхней части карточки записи содержится флажок Скрыть пустые поля события. При установленном флажке в карточке отображаются только непустые поля записи.
Экспорт записей
Чтобы экспортировать запись:
-
Перейдите в раздел Инструменты → RQL-песочница. Система отобразит сведения о найденных записях данных.
-
Нажмите на строку записи в списке. Система отобразит в правой части экрана карточку этой записи с подробной информацией о ней.
-
Нажмите на кнопку
в области заголовка карточки записи. Данные записи будут экспортированы в файл формата JSON.
| Экспорт записи из ее карточки выполняется только в формате JSON. |
Чтобы экспортировать все найденные записи:
-
Перейдите в раздел Инструменты → RQL-песочница. Система отобразит сведения о найденных записях данных.
-
Нажмите на кнопку Экспортировать записи (
) на панели инструментов. Система отобразит окно экспорта. -
Выберите из выпадающего списка формат экспорта: CSV или JSON.
-
Нажмите Экспортировать. Все записи, представленные в таблице на момент экспорта, будут загружены на устройство пользователя одним файлом в выбранном формате. Система отобразит уведомление об успешном экспорте записей.
