Работа с разделом Поиск

Раздел Поиск позволяет просматривать и анализировать события и записи активных списков. В этом разделе отображаются события из указанного хранилища или записи указанного активного списка, с возможностью поиска и фильтрации вхождений с помощью пользовательских фильтров и запросов на языке RQL.

Раздел Поиск доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О событиях

Событие — это идентифицированный переход системы, сервиса или сети в состояние, которое указывает на возможное нарушение политики информационной безопасности, сбой средств контроля или иную ситуацию, которая может быть значимой для информационной безопасности.

R-Vision SIEM позволяет:

  • задавать модели событий для сбора данных из нескольких источников;

  • собирать события в соответствии с заданными моделями;

  • детектировать действия в системе в виде событий аудита;

  • обогащать события за счет получения дополнительных данных и установления связей с другими событиями;

  • отслеживать и визуализировать события;

  • управлять хранением и обработкой событий;

  • создавать фиды событий для отправки в R-Vision TIP и иные системы класса Threat Intelligence.

Базовый и продвинутый поиск

В системе доступны два режима поиска:

  • Базовый поиск — поиск без использования проекций и группировки результатов.

  • Продвинутый поиск — поиск с использованием проекций и группировки результатов с помощью операторов языка RQL SELECT и GROUP BY соответственно.

    Пример 1. Пример запроса в режиме продвинутого поиска
    SELECT count(id) as cnt, collectorId GROUP BY collectorId

    При выполнении вышеприведенного запроса данные группируются по полю collectorId и вычисляется cnt — количество записей в каждой группе. Результат запроса — таблица с двумя столбцами: cnt и collectorId.

В режиме продвинутого поиска структура результата не определяется моделью события, из-за чего некоторые функции недоступны, а именно:

По умолчанию при открытии раздела Поиск используется режим базового поиска. Режим поиска для текущего запроса определяется автоматически при нажатии кнопки Поиск и отправке запроса:

  • Запрос выполняется в режиме продвинутого поиска, если он содержит операторы GROUP BY, RIGHT JOIN, FULL JOIN или SELECT, за исключением SELECT *.

  • В остальных случаях запрос выполняется в режиме базового поиска.

Интерфейс раздела

В верхней части раздела отображается название текущего хранилища или списка. Чтобы искать данные в другом хранилище или списке, выберите его название в выпадающем списке. Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

Панель инструментов включает в себя следующие компоненты:

  • Кнопка экспорта (export) открывает страницу экспорта событий или записей.

  • Кнопка Сравнение событий (compare) открывает страницу сравнения событий. Кнопка отображается, если выбрано хранилище событий.

  • Кнопка Шаблоны (save) открывает выпадающий список шаблонов. В списке вы можете найти и применить, обновить существующий шаблон, а также сохранить новый шаблон.

  • Кнопка Копировать запрос с фильтрами (copy) позволяет скопировать в буфер обмена поисковый запрос, объединенный с условиями фильтра оператором AND. Скопированный запрос можно использовать при создании виджета.

  • В поле запроса указываются ключевые слова или RQL-запрос для поиска событий в выбранном хранилище или списке.

  • Кнопка календаря (calendar) позволяет выбрать способ задания периода, в рамках которого требуется искать данные.

  • Поля периода предназначены для указания временного диапазона поиска. Зависят от выбранного способа задания периода.

  • Кнопка Поиск позволяет начать поиск данных по заданным параметрам.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только записи, найденные до прерывания поиска.

Если активен режим базового поиска, под панелью отображается график распределения найденных записей по времени. В правом верхнем углу графика находится кнопка для сворачивания и разворачивания.

По умолчанию в рабочей области отображается вкладка Данные, которая содержит информацию о найденных событиях или записях активного списка.

Если активен режим базового поиска, становится доступной вкладка Статистика — сводные данные по полям найденных событий и записей активного списка с возможностью просмотра рейтинга значений по выбранному полю.

Вкладка Данные

На вкладке Данные отображается список событий или записей — таблица найденных вхождений.

Список столбцов таблицы формируется в зависимости от текущего режима поиска:

  • в режиме базового поиска — согласно полям модели события выбранного хранилища, для которых задано отображение;

  • в режиме продвинутого поиска — согласно полям, заданным с помощью операторов SELECT и/или GROUP BY.

По умолчанию на вкладке Данные отображаются следующие поля:

По умолчанию в таблице доступен просмотр не более 500 первых записей.

Если выбрать запись в таблице, в правой части рабочей области отобразится карточка с подробной информацией о записи.

При работе с таблицей записей на вкладке Данные доступны следующие операции:

Вкладка Статистика

Вкладка Статистика доступна только в режиме базового поиска.

Поля с типом данных array и KeyValue не отображаются в статистике.

На вкладке Статистика представлена сводная информация по полям найденных событий или записей активного списка. На вкладке можно просматривать рейтинг значений по каждому из полей, а также общие статистические данные.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели, не отображаются в таблице статистики для этого хранилища.

На вкладке Статистика столбцы таблицы представлены следующим образом:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — отображаются как процент вхождений, содержащих непустые значения, так и их абсолютное количество.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — процент уникальных значений от общего количества, а также их абсолютное количество.

С помощью стрелки chevron down можно развернуть или свернуть панель с детальной статистикой всех полей или выбранного поля. Детальная статистика включает секции Общие сведения, Рейтинг значений и Даты.

Секция Даты отображается для полей с типом данных DateTime вместо секции Рейтинг значений.

Направление сортировки записей в секции Рейтинг значений можно настроить для всех полей через панель выбора на вкладке, либо выборочно для каждого поля через панель с детальной статистикой.

В секции Рейтинг значений отображаются следующие кнопки:

  • plus square — фильтрация событий по выбранному значению.

  • minus square — исключение значения из фильтрации.

  • copy — копирование значения в буфер обмена.

  • sort down — сортировка списка значений по убыванию или возрастанию количества вхождений.

    В рейтинге отображаются до 10 самых частых или редких значений, в зависимости от направления сортировки. Остальные значения объединяются в группу Другое.

При работе с таблицей записей на вкладке Статистика доступны следующие операции:

Поиск событий и записей

Чтобы выполнить поиск по событиям хранилища или записям активного списка:

  1. Перейдите в раздел Поиск.

  2. Выберите из выпадающего списка в верхней части раздела хранилище событий или активный список. Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

  3. Задайте критерии поиска:

    1. Чтобы искать по ключевым словам или RQL-запросу, введите запрос в поле поиска.

      При установке курсора в поле поиска отображается панель с 5 последними запросами.
      Если в запросе заданы условия поиска по определенным значениям полей с помощью операторов = или IN, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    2. Чтобы искать по периоду времени, нажмите на кнопку calendar и выберите из выпадающего списка способ задания периода:

      1. Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

      2. Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

      3. Часто используемые — выберите в разделе один из предлагаемых периодов.

        В нижней части выпадающего списка фильтров расположена секция История поиска с 5 последними запросами.

  4. Нажмите на кнопку Поиск. Список записей, соответствующий заданным критериям, отобразится в таблице. Также над таблицей отобразится количество найденных совпадений.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только записи, найденные до прерывания поиска.
История запросов хранится в разделе Диспетчер запросов.

Поиск по подсетям

Для поиска данных по подсетям используйте оператор IN. Формат записи: %Сетевая маска%/%Префикс%.

Пример 2. Поиск по подсетям
sourceIp IN '::ffff:192.168.1.1/120'
sourceIp IN '2001:db8::/32'
deviceTranslatedAddress IN '203.0.113.0/24'

Работа с поисковыми шаблонами

Для удобства поиска можно сохранить текущий запрос в виде шаблона.

Создание шаблона

Чтобы создать шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку Создать шаблон. Отобразится окно сохранения шаблона.

  4. Введите название шаблона.

  5. При необходимости введите описание шаблона.

  6. Выберите каталог раздела Экспертиза, в который будет помещен шаблон.

  7. Чтобы сохранить в шаблоне текущий заданный период, установите флажок Сохранить временной период.

  8. Чтобы сохранить в шаблоне имеющиеся пользовательские фильтры, установите флажок Сохранить фильтры.

  9. Нажмите на кнопку Создать. Система отобразит уведомление о создании шаблона, и шаблон появится на панели шаблонов.

Применение шаблона

Чтобы применить шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Выберите шаблон из списка. Система применит шаблон для поиска событий или записей активных списков.

Поиск шаблона

Чтобы найти шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Введите название требуемого шаблона в поле поиска. На панели отобразятся шаблоны, в названии которых встречается введенный запрос.

Обновление шаблона

Вы можете обновить существующий шаблон. Для этого:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку change.

  4. Вы можете отредактировать название и описание шаблона. Также можно установить или снять флажки Сохранить временной период и Сохранить фильтры.

  5. Нажмите на кнопку Обновить и подтвердите обновление. Шаблон будет обновлен. В нем будет сохранен поисковый запрос, введенный в поле запроса на момент редактирования. Фильтры и временной период будут сохранены, если установлены флажки Сохранить временной период и Сохранить фильтры.

Работа с графиком распределения событий

График распределения событий доступен только в режиме базового поиска.

График распределения найденных событий или записей по времени отображается после выполнения поискового запроса.

Для построения графика используются следующие временные значения:

  • При поиске в хранилище событий — временные метки событий (timestamp).

  • При поиске в активных списках — дата создания записей.

Панель с графиком по умолчанию свернута.

Чтобы показать график:

  1. Нажмите на кнопку Показать график. В рабочей области раскроется панель с графиком распределения по времени.

  2. Вы можете уточнить временной период поискового запроса с помощью графика:

    1. Наведите курсор на график. Курсор примет форму крестика.

    2. Выделите с помощью курсора необходимые диапазоны на графике. Система скорректирует поисковый запрос с учетом выбранного временного отрезка и отобразит уточненные данные в таблице и на графике.

Чтобы скрыть график, нажмите на кнопку Скрыть график. Панель с графиком распределения найденных событий по времени свернется.

Работа со списком событий или записей активного списка

Список найденных событий или записей отображается в виде таблицы на вкладке Данные.

Вы можете выбирать поля таблицы, настраивать количество записей для отображения, фильтровать список и просматривать статистику событий по полям.

Настройка количества отображаемых событий

По умолчанию отображаются не более 500 первых найденных записей.

Чтобы изменить количество отображаемых записей, выберите значение из выпадающего списка в нижней части страницы. Доступные варианты: 500, 1000, 5000, 10 000, 25 000.

Пользовательская фильтрация списка событий

Доступные операции над пользовательскими фильтрами:

Если в секции WHERE RQL-запроса заданы условия фильтрации, при формировании запроса в БД они объединяются оператором AND с фильтрами, настроенными через графический интерфейс.

Добавление фильтра

Чтобы добавить пользовательский фильтр списка:

  1. Нажмите на кнопку Добавить фильтр. Отобразится окно добавления фильтра.

  2. Выберите из выпадающего списка поле, по которому будут фильтроваться записи.

    Выбор полей ограничен моделью выбранного хранилища событий или активного списка. Условия фильтрации полей, не входящих в модель (например, для псевдонимов), в режиме продвинутого поиска можно задать в секции WHERE RQL-запроса.

  3. Выберите из выпадающего списка оператор, который будет применен к значению поля:

    • = — равно.

      Если в фильтре задано условие поиска по определенному значению поля с помощью оператора =, соответствующее поле для найденных записей на вкладке Данные будет подсвечиваться.

    • != — не равно.

    • In — совпадает с перечисленными значениями. Значения указываются через запятую.

      Если в фильтре задано условие поиска по определенному значению поля с помощью оператора In, соответствующее поле для найденных записей на вкладке Данные будет подсвечиваться.

    • Like — соответствует заданному шаблону.

    • > — больше.

    • < — меньше.

    • >= — больше или равно.

    • <= — меньше или равно.

    • Between — находится в заданном диапазоне.

  4. Укажите значение поля.

  5. Если нужно инвертировать фильтр, включите переключатель Инвертировать (NOT).

  6. Если нужно указать название фильтра, включите переключатель Настроить заголовок и введите название.

  7. Нажмите на кнопку Добавить. Созданный фильтр появится рядом с кнопкой Добавить фильтр.

Если вы не указывали название фильтра, система создаст его автоматически на основе данных о выбранном поле, операторе и значении.

Если задан хотя бы один фильтр, система отобразит кнопки:

  • Сбросить все — удаление всех имеющихся фильтров.

  • filter — выпадающее меню команд фильтрации:

    • Отключить все — отключение всех фильтров.

    • Включить все — включение всех фильтров.

    • Инвертировать (NOT) все — инвертирование всех фильтров.

    • Удалить все — удаление всех фильтров.

Применение фильтра

Чтобы применить настроенный фильтр списка, нажмите на кнопку Поиск. Будут найдены события, удовлетворяющие условиям фильтра.

Изменение фильтра

Чтобы изменить заданный пользовательский фильтр списка:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Изменить в выпадающем меню. Откроется окно изменения фильтра.

  3. Внесите изменения в требуемые поля.

  4. Нажмите на кнопку Сохранить. Измененные настройки фильтра будут сохранены.

Отключение фильтра

По умолчанию пользовательский фильтр создается включенным и учитывается при фильтрации списка.

Чтобы отключить фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Отключить в выпадающем меню. Фильтр будет отключен и не будет использоваться для фильтрации списка событий.

Вы также можете отключить сразу все настроенные фильтры. Для этого выберите опцию Отключить все в выпадающем меню кнопки filter.

Включение фильтра

Чтобы включить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Включить в выпадающем меню. Фильтр будет применен к списку событий.

Вы также можете включить сразу все настроенные фильтры. Для этого выберите опцию Включить все в выпадающем меню кнопки filter.

Инвертирование фильтра

Чтобы инвертировать условие пользовательского фильтра:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Инвертировать (NOT) в выпадающем меню. Условие фильтра будет заменено на противоположное.

Вы также можете инвертировать условия сразу всех настроенных фильтров. Для этого выберите опцию Инвертировать (NOT) все в выпадающем меню кнопки filter.

Удаление фильтра

Чтобы удалить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Удалить в выпадающем меню. Фильтр будет сброшен без возможности восстановления.

Вы также можете удалить сразу все настроенные фильтры. Для этого нажмите на кнопку Сбросить все или выберите опцию Удалить все в выпадающем меню кнопки filter.

Автоматическая фильтрация списка по значению поля

Автоматическая фильтрация доступна только в режиме базового поиска.

Вы можете настроить автоматическую фильтрацию списка несколькими способами:

Настройка автоматической фильтрации в списке

Чтобы настроить автоматическую фильтрацию списка по значению поля:

  1. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки фильтрации:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  2. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации в карточке

Чтобы настроить автоматическую фильтрацию списка по значению поля из карточки события:

  1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации по статистике поля

На панели статистики поля доступна фильтрация списка по значениям выбранного поля, а также по информации о датах его значений.

Чтобы настроить автоматическую фильтрацию списка по данным статистики поля:

  1. Нажмите на кнопку действий (more vertical) в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  2. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка таблицы

  • На панели настроек отображаются шаблоны, применяемые к таблице текущей вкладки.

  • Шаблоны для вкладок Данные и Статистика настраиваются и сохраняются отдельно друг от друга.

  • Каждый набор шаблонов привязан к конкретному хранилищу событий или активному списку.

Выбор отображаемых полей таблицы

Настройка отображаемых полей таблицы доступна только в режиме базового поиска. В режиме продвинутого поиска отображаемые поля определяются выполняемым RQL-запросом.

Чтобы выбрать отображаемые поля таблицы, используйте панель настроек либо карточку события или записи.

Отображение полей таблицы настраивается на панели настроек. В разделе Поиск на панели настроек вы можете также искать поля по названию.

Чтобы вернуть настройки отображения по умолчанию:

  • Нажмите на кнопку Сбросить по умолчанию в нижней части панели. Появится окно подтверждения.

  • Нажмите на кнопку Сбросить.

Чтобы настроить отображение полей с помощью карточки события или записи:

  1. На вкладке Данные нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  3. Нажмите на кнопку more vertical и задайте параметры отображения в выпадающем меню:

    • Скрыть колонку — скрытие колонки поля из таблицы;

    • Отобразить колонку — отображение колонки поля в таблице.

Работа с шаблонами настроек таблицы

Шаблоны настроек таблицы доступны только в режиме базового поиска.

Для удобства можно сохранить часто используемые настройки таблицы в виде шаблона.

Шаблоны настроек таблицы доступны только в базовом поиске.

Доступные операции над шаблонами настроек таблицы:

Создание шаблона настроек таблицы

Чтобы создать шаблон настроек таблицы:

  1. Нажмите на кнопку Сохранить как шаблон в нижней части панели настроек. Отобразится окно сохранения шаблона настроек.

  2. Введите название шаблона настроек.

  3. Если необходимо сделать шаблон доступным для всех пользователей системы, установите флажок Сохранить для всех пользователей.

  4. Нажмите на кнопку Сохранить. Система отобразит уведомление о сохранении шаблона, и шаблон появится в выпадающем списке Шаблон.

Применение шаблона настроек таблицы

Чтобы применить шаблон настроек таблицы:

  1. Выберите из выпадающего списка Шаблон требуемый шаблон. Настройки выбранного шаблона будут применены к таблице событий.

Поиск шаблона настроек таблицы

Чтобы найти шаблон настроек таблицы:

  1. Введите название требуемого шаблона в поле Шаблон. В выпадающем списке отобразятся шаблоны, в названии которых встречается введенный запрос.

Изменение шаблона настроек таблицы

Изменение шаблона настроек происходит путем замены его полей на текущие настройки таблицы.

Чтобы изменить шаблон:

  1. Выберите из выпадающего списка Шаблон требуемый шаблон.

  2. Внесите необходимые изменения в настройки.

  3. В выпадающем списке Шаблон нажмите на кнопку Заменить шаблон (change) в строке нужного шаблона. Отобразится окно подтверждения замены настроек шаблона.

  4. Нажмите на кнопку Заменить. Система отобразит уведомление о сохранении шаблона, и настройки шаблона будут изменены.

Удаление шаблона настроек таблицы

Чтобы удалить шаблон настроек таблицы:

  1. В выпадающем списке Шаблон нажмите на кнопку Удалить шаблон (trash) в строке нужного шаблона. Отобразится окно подтверждения удаления.

  2. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении шаблона, и шаблон исчезнет из списка.

Просмотр статистики полей

Статистика полей доступна только в режиме базового поиска.

Поля с типом данных array и KeyValue не отображаются в статистике.

На вкладке Статистика представлена сводная статистика по полям всех найденных событий или записей активного списка. Здесь можно просматривать рейтинг значений по полю, а также детализированные статистические данные, включая тип данных, количество значений, процент заполненных и уникальных значений.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели, не отображаются в таблице статистики для этого хранилища.

На вкладке Статистика колонки таблицы представлены следующим образом:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — отображаются как процент вхождений, содержащих непустые значения, так и их абсолютное количество.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — процент уникальных значений от общего количества, а также их абсолютное количество.

Просмотр детальной статистики по полю

Чтобы отобразить детальную статистику по полю:

  1. Перейдите на вкладку Статистика.

  2. Нажмите на стрелку chevron down в строке нужного поля. В раскрывшейся панели система отобразит детализированную статистику, разделенную на следующие секции:

    • Общие сведения:

      • Тип поля — тип данных поля.

      • Заполненных значений — процентная доля заполненных значений (не пустых) от общего количества значений поля.

      • Уникальных значений — количество уникальных (неповторяющихся) значений поля.

      • Выборка — процентное соотношение количества уникальных значений к общему числу значений поля.

    • Рейтинг значений:

      • Частота встречаемости значения, указана в процентах.

      • Количество повторений значения в событиях или записях, приведено в скобках.

      • Кнопки для фильтрации событий по значению и копирования значения в буфер обмена.

        В рейтинге отображаются до 10 самых частых или редких значений, в зависимости от направления сортировки. Остальные значения объединяются в группу Другое.

    • Даты:

      Секция Даты отображается для полей с типом данных DateTime вместо секции Рейтинг значений.

      • Первая дата — минимальное значение даты из всех найденных событий.

      • Последняя дата — максимальное значение даты из всех найденных событий.

Детальную статистику по полю можно также просмотреть на вкладке Данные:

  • Через меню действий:

    1. Наведите курсор на какое-либо значение требуемого поля в списке. Рядом с полем отобразятся кнопки действий.

    2. Нажмите на кнопку действий (more vertical) в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  • Через карточку события или записи:

    1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

    2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий.

    3. Нажмите на кнопку more vertical и выберите опцию Статистика. Вместо карточки события или записи в правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

При наведении курсора на строку любого поля на панели статистики, в строке отображаются следующие кнопки:

Работа с событием или записью активного списка

Доступные операции над событиями или записями активного списка:

Просмотр события или записи

Чтобы просмотреть найденное событие или запись активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

Название отображается в верхней части карточки. Там также расположены кнопки для добавления события в сравнение и копирования события или записи.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу панели в нужном направлении.

В режиме базового поиска поля карточки события или записи активного списка сгруппированы следующим образом:

  • Карточка события содержит следующие поля:

    • Дата и время — поля art и timestamp с датой и временем поступления на коллектор.

    • Служебные данные — все служебные поля модели события, кроме полей raw, originalTimestamp, timestamp.

    • Сведения о событии — все регулярные поля модели события.

    • (Для базового события) Исходное событие — исходное событие, лежащее в основе просматриваемого события.

    • (Для события корреляции) Базовые события — список базовых событий с полями ID и Timestamp.

  • Карточка записи активного списка содержит группы полей:

    • Дата и время — время создания и обновления записи.

    • Поля активного списка — поля согласно схеме активного списка.

В режиме продвинутого поиска поля карточки не сгруппированы и отображаются в порядке, указанном в секции SELECT RQL-запроса.

При наведении курсора на строку любого поля отображаются следующие кнопки (только в режиме базового поиска):

Копирование события или записи

Чтобы скопировать информацию в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку копирования copy (Скопировать событие или Скопировать запись) в верхней части карточки. Система сохранит данные в буфер обмена и отобразит соответствующее уведомление.

Копирование данных поля

Вы можете копировать данные полей непосредственно из списка или из карточки. Статистику по конкретному полю можно скопировать из панели статистики соответствующего поля.

Копирование данных из списка

Чтобы скопировать данные поля из списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки действий над ним.

  3. Нажмите на кнопку more vertical и выберите опцию Копировать. Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных из карточки

Чтобы скопировать данные поля из карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  4. Нажмите на кнопку more vertical и выберите опцию Копировать. Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных статистики поля

В режиме базового поиска на панели статистики доступно копирование значений выбранного поля, а также временных меток соответствующих значений.

Чтобы скопировать данные с панели статистики поля:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку действия (more vertical) в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  3. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопку копирования данных (copy) в строке этого поля.

  4. Нажмите на кнопку копирования данных (copy). Данные выбранной строки будут скопированы в буфер обмена.

Экспорт событий и записей

Чтобы экспортировать группу событий или записей активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Экспортировать события (если выбрано хранилище событий) или Экспортировать записи (export) на панели инструментов. Система отобразит окно экспорта.

  3. Выберите из выпадающего списка формат экспорта: CSV или JSON.

  4. Если установлен флажок Исключить пустые поля, из результатов экспорта исключаются поля без значений. Для включения всех полей в результат экспорта снимите этот флажок.

  5. Нажмите на кнопку Экспортировать. Все вхождения, представленные в текущей выдаче, будут загружены на устройство пользователя одним файлом в выбранном формате. Система отобразит уведомление об успешном экспорте.

Сравнение событий

Сравнение различных событий между собой позволяет проводить более глубокий анализ и исследование поступающих событий с целью выявления подозрительных отклонений.

Доступные операции над сравнением событий:

Добавление события в сравнение

Чтобы добавить событие в сравнение:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку Сравнение событий (compare) в верхней части карточки события. Кнопка станет активной, система добавит выбранное событие в сравнение и отобразит соответствующее уведомление.

    В сравнение можно добавлять не более десяти событий.

Просмотр сравнения

Чтобы просмотреть добавленные в сравнение события:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение. Вы также можете перейти на страницу просмотра сравнения с помощью кнопки Перейти в список сравнения, отображаемой в уведомлении при добавлении события в сравнение.

Чтобы вернуться в раздел Поиск, нажмите на кнопку Назад в левой верхней части экрана.

Панель инструментов страницы сравнения событий включает в себя следующие компоненты:

  • Кнопка Копировать (copy) копирует данные всех событий из сравнения в буфер обмена.

  • Кнопка Очистить (trash) удаляет все события из сравнения.

  • Выпадающий список Поля предназначен для выбора конкретных полей событий для сравнения.

  • Переключатель Показать отличия позволяет отобразить только те поля, значения которых отличаются в каком-либо из сравниваемых событий.

  • Переключатель Скрыть пустые поля позволяет скрыть поля, не имеющие значений ни в одном из сравниваемых событий.

В рабочей области расположена таблица сравнения событий. Первый столбец таблицы содержит ключи полей событий. В остальных столбцах отображаются данные этих полей для каждого из сравниваемых событий.

В заголовке столбца каждого события расположена кнопка Удалить из сравнения (trash) для удаления события из сравнения.

Настройка сравнения полей событий

Чтобы настроить сравнение полей событий:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Выберите из выпадающего списка Поля на панели инструментов поля событий, которые требуется сравнить. Если поля не выбраны, сравнение проводится для всех полей событий.

  4. Задайте настройки отображения полей событий с помощью переключателей на панели инструментов:

    • Показать отличия — включите опцию, если требуется отобразить только те поля событий, в которых имеются отличия.

    • Скрыть пустые поля — включите опцию, если требуется скрыть все поля событий, не имеющих значений ни в одном из событий.

Копирование событий в сравнении

Чтобы скопировать данные всех сравниваемых событий в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку Копировать (copy) на панели инструментов страницы сравнения событий. Система сохранит данные событий из сравнения в буфер обмена и отобразит соответствующее уведомление.

Удаление события из сравнения

Чтобы удалить событие из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку Удалить из сравнения (trash) в заголовке нужного события. Система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Вы также можете удалить событие из сравнения из его карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку Сравнение событий (compare) в верхней части карточки события. Кнопка станет неактивной, система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Чтобы удалить сразу все события из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку Очистить (trash) на панели инструментов страницы сравнения событий. Система отобразит окно подтверждения действия.

  4. Нажмите на кнопку Удалить. Система удалит все события из сравнения и отобразит соответствующее уведомление.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение