Работа с разделом Поиск

Раздел Поиск позволяет просматривать и анализировать события и записи активных списков. В этом разделе отображаются события из указанного хранилища или записи указанного активного списка, с возможностью поиска и фильтрации вхождений с помощью пользовательских фильтров и запросов на языке RQL.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О событиях

Событие — это идентифицированный переход системы, сервиса или сети в состояние, которое указывает на возможное нарушение политики информационной безопасности, сбой средств контроля или иную ситуацию, которая может быть значимой для информационной безопасности.

Система позволяет:

  • задавать модели событий для сбора данных из нескольких источников;

  • собирать события в соответствии с заданными моделями;

  • детектировать действия в системе в виде событий аудита;

  • обогащать события за счет получения дополнительных данных и установления связей с другими событиями;

  • отслеживать и визуализировать события;

  • управлять хранением и обработкой событий;

  • создавать фиды событий для отправки в R-Vision TIP и иные системы класса Threat Intelligence.

Режимы поиска

В системе доступны два режима поиска:

  • Базовый поиск — поиск без использования проекций и группировки результатов.

  • Продвинутый поиск — поиск с использованием проекций и группировки результатов с помощью операторов языка RQL SELECT и GROUP BY соответственно.

    Пример 1. Пример запроса в режиме продвинутого поиска
    SELECT count(id) as cnt, collectorId GROUP BY collectorId

    При выполнении вышеприведенного запроса данные группируются по полю collectorId и вычисляется cnt — количество записей в каждой группе. Результат запроса — таблица с двумя столбцами: cnt и collectorId.

В режиме продвинутого поиска структура результата не определяется моделью события, из-за чего некоторые функции недоступны, а именно:

По умолчанию при открытии раздела Поиск используется режим базового поиска. Режим поиска для текущего запроса определяется автоматически при нажатии кнопки Поиск и отправке запроса:

  • Запрос выполняется в режиме продвинутого поиска, если он содержит операторы GROUP BY, RIGHT JOIN, FULL JOIN или SELECT, за исключением SELECT *.

  • В остальных случаях запрос выполняется в режиме базового поиска.

Интерфейс раздела

В верхней части раздела отображается название текущего хранилища или активного списка. Чтобы искать данные в другом хранилище или активном списке, выберите его название из выпадающего списка. Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

Панель инструментов раздела включает в себя следующие компоненты:

  • Кнопка export позволяет экспортировать найденные события или записи.

  • Кнопка compare открывает страницу сравнения событий. Кнопка отображается, если для поиска выбрано хранилище событий.

  • Кнопка save открывает панель для работы с поисковыми шаблонами.

  • Кнопка copy позволяет скопировать в буфер обмена текущий поисковый запрос, объединенный с условиями фильтра оператором AND. Скопированный запрос можно использовать при создании виджета.

  • Поле запроса предназначено для ввода ключевых слов или RQL-запроса для поиска данных в выбранном хранилище или активном списке.

  • Кнопка calendar позволяет выбрать способ задания периода, в рамках которого требуется искать данные.

  • Поля периода предназначены для указания временного диапазона поиска. Зависят от выбранного способа задания периода.

  • Кнопка Поиск позволяет начать поиск данных по заданным параметрам.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только записи, найденные до прерывания поиска.

Если активен режим базового поиска, под панелью отображается график распределения найденных записей по времени. В правом верхнем углу графика находится кнопка для сворачивания и разворачивания.

Вид рабочей области раздела зависит от открытой вкладки. Доступные вкладки:

  • Данные — содержит информацию о найденных событиях или записях активного списка.

  • Статистика — отображает сводные данные по полям найденных событий и записей активного списка с возможностью просмотра рейтинга значений по выбранному полю.

    Вкладка доступна, если активен режим базового поиска.

Интерфейс вкладки Данные

На вкладке Данные отображается список событий или записей. Список представлен в виде таблицы, набор столбцов которой формируется в зависимости от текущего режима поиска:

  • в режиме базового поиска — согласно полям модели события выбранного хранилища, для которых задано отображение;

  • в режиме продвинутого поиска — согласно полям, заданным с помощью операторов SELECT и/или GROUP BY.

По умолчанию в таблице на вкладке Данные отображаются столбцы, соответствующие следующим полям:

При работе с таблицей записей на вкладке Данные доступны следующие операции:

По умолчанию в таблице доступен просмотр не более 500 первых записей.

При выборе конкретной записи в правой части рабочей области отображается ее карточка с детальной информацией.

Интерфейс вкладки Статистика

На вкладке Статистика представлена сводная информация по полям найденных событий или записей активного списка. На вкладке можно просматривать рейтинг значений по каждому из полей, а также общие статистические данные.

Данные по статистике представлены в виде таблицы со следующими столбцами:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — количество заполненных (непустых) значений поля и их процентная доля от общего количества значений.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — количество значений поля, используемых при расчете статистики, и их процентная доля от общего количества.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели, не отображаются в таблице статистики для этого хранилища.

Слева от строки каждого поля в таблице расположена кнопка в виде стрелки, позволяющая показать детальную статистику по выбранному полю.

Вы также можете отобразить статистику сразу всех полей. Для этого необходимо использовать кнопку в виде стрелки слева от области заголовка таблицы.

При работе с таблицей полей на вкладке Статистика доступны следующие операции:

Доступные операции при работе с поиском:

Поиск событий и записей

Чтобы выполнить поиск по событиям хранилища или записям активного списка:

  1. Перейдите в раздел Поиск.

  2. Выберите хранилище событий или активный список из выпадающего списка в верхней части раздела.

    Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

  3. Задайте критерии поиска:

    1. Чтобы искать записи по ключевым словам или RQL-запросу, введите запрос в поле поиска.

      При установке курсора в поле поиска отображается панель с 5 последними запросами.

      Если в запросе заданы условия поиска по определенным значениям полей с помощью операторов = или IN, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.
      Если для выбранного хранилища событий и ролей текущего пользователя заданы политики управления доступа к событиям, их правила будут неявно добавлены в секцию WHERE поискового запроса.

    2. Чтобы искать записи за период времени, нажмите на кнопку calendar и выберите из выпадающего списка способ задания периода:

      1. Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

      2. Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

      3. Часто используемые — выберите в разделе один из предлагаемых периодов.

      В нижней части выпадающего списка фильтров расположена секция История поиска с 5 последними запросами.

  4. Нажмите на кнопку Поиск. Список записей, соответствующий заданным критериям, отобразится в таблице. Также над таблицей отобразится количество найденных совпадений.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только записи, найденные до прерывания поиска.
История запросов поиска хранится в разделе Диспетчер запросов.

Поиск по подсетям

Для поиска данных по подсетям используйте оператор IN. Формат записи: %Сетевая маска%/%Префикс%.

Пример 2. Поиск по подсетям
sourceIp IN '::ffff:192.168.1.1/120'
sourceIp IN '2001:db8::/32'
deviceTranslatedAddress IN '203.0.113.0/24'

Работа с поисковыми шаблонами

Для удобства поиска можно сохранить текущий запрос в виде шаблона.

Доступные операции над поисковыми шаблонами:

Создание шаблона

Чтобы создать шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку Создать шаблон. Отобразится окно сохранения шаблона.

  4. Введите название шаблона.

  5. При необходимости введите описание шаблона.

  6. Выберите каталог раздела Экспертиза, в который будет помещен шаблон.

  7. Чтобы сохранить в шаблоне текущий заданный период, установите флажок Сохранить временной период.

  8. Чтобы сохранить в шаблоне имеющиеся пользовательские фильтры, установите флажок Сохранить фильтры.

  9. Нажмите на кнопку Создать. Система создаст шаблон и отобразит соответствующее уведомление. Новый шаблон появится на панели шаблонов.

Поиск шаблона

Чтобы найти нужный шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Введите название требуемого шаблона в поле поиска. На панели отобразятся шаблоны, в названии которых встречается введенный запрос.

Применение шаблона

Чтобы применить шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Выберите шаблон из списка. Система применит шаблон для поиска событий или записей активных списков.

Обновление шаблона

Чтобы обновить существующий шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку change в правой части строки нужного шаблона. Отобразится окно обновления шаблона.

  4. Внесите необходимые изменения в настройки шаблона.

  5. Нажмите на кнопку Обновить и подтвердите обновление. Шаблон будет обновлен. В нем будет сохранен поисковый запрос, введенный в поле запроса на момент редактирования. Фильтры и временной период будут сохранены, если установлены флажки Сохранить временной период и Сохранить фильтры.

Просмотр конфигурации шаблона

Чтобы просмотреть RObject-конфигурацию шаблона:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку link в правой части строки нужного шаблона. Система откроет в новой вкладке браузера раздел Экспертиза и отобразит окно просмотра RObject-конфигурации выбранного шаблона поиска.

Работа с графиком распределения событий

График распределения событий доступен только в режиме базового поиска.

График распределения найденных событий или записей по времени отображается после выполнения поискового запроса.

Результаты на графике расположены от более старых к более новым. Для построения графика используются следующие временные значения:

  • При поиске в хранилище событий — временные метки событий (timestamp).

  • При поиске в активных списках — дата создания записей.

Результаты разбиваются на периоды, длительность которых зависит от общего периода поиска. При наведении курсора на определенный период отображаются даты и время его начала и окончания, а также количество событий или записей в этом периоде.

Доступные операции над графиком:

Отображение и скрытие графика

Панель с графиком по умолчанию свернута. Чтобы отобразить график, нажмите на кнопку Показать график (chevron down). Над таблицей найденных записей раскроется панель с графиком распределения по времени.

Чтобы скрыть график, нажмите на кнопку Скрыть график (chevron up). Панель с графиком распределения найденных событий по времени свернется.

Уточнение периода поиска с помощью графика

Вы можете уточнить временной период поискового запроса с помощью графика. Для этого:

  1. Наведите курсор на график. Курсор примет форму крестика.

  2. Нажмите на нужный период или, удерживая курсор, выделите несколько периодов. Система скорректирует поисковый запрос с учетом выбранного временного диапазона и отобразит уточненные данные в таблице и на графике.

Работа со списком событий или записей активного списка

Список найденных событий или записей отображается в виде таблицы на вкладке Данные.

Доступные операции над списком событий или записей:

Настройка количества отображаемых событий

По умолчанию отображаются не более 500 первых найденных записей.

Чтобы изменить количество отображаемых записей, выберите значение из выпадающего списка в нижней части страницы. Доступные варианты: 500, 1000, 5000, 10 000, 25 000.

Пользовательская фильтрация списка событий

Доступные операции над пользовательскими фильтрами:

Если в секции WHERE RQL-запроса заданы условия фильтрации, при формировании запроса в БД они объединяются оператором AND с фильтрами, настроенными через графический интерфейс.

Добавление фильтра

Чтобы добавить пользовательский фильтр списка:

  1. Нажмите на кнопку Добавить фильтр. Отобразится окно добавления фильтра.

  2. Выберите из выпадающего списка поле, по которому будут фильтроваться записи.

    Выбор полей ограничен моделью выбранного хранилища событий или активного списка. Условия фильтрации полей, не входящих в модель (например, для псевдонимов), в режиме продвинутого поиска можно задать в секции WHERE RQL-запроса.

  3. Выберите из выпадающего списка оператор, который будет применен к значению поля:

    • = — равно.

      Если в фильтре задано условие поиска по определенному значению поля с помощью оператора =, соответствующее поле для найденных записей на вкладке Данные будет подсвечиваться.

    • != — не равно.

    • In — совпадает с перечисленными значениями. Значения указываются через запятую.

      Если в фильтре задано условие поиска по определенному значению поля с помощью оператора In, соответствующее поле для найденных записей на вкладке Данные будет подсвечиваться.

    • Like — соответствует заданному шаблону.

      Шаблон может включать обычные символы и следующие метасимволы:

      • % — обозначает любое количество произвольных символов или отсутствие символов.

      • _ — обозначает один произвольный символ.

      • \ — используется для экранирования символов %, _ и \.

    • > — больше.

    • < — меньше.

    • >= — больше или равно.

    • <= — меньше или равно.

    • Between — находится в заданном диапазоне.

  4. Укажите значение поля.

  5. Если нужно инвертировать фильтр, включите переключатель Инвертировать (NOT).

  6. Если нужно указать название фильтра, включите переключатель Настроить заголовок и введите название.

  7. Нажмите на кнопку Добавить. Созданный фильтр появится рядом с кнопкой Добавить фильтр.

Если вы не указывали название фильтра, система создаст его автоматически на основе данных о выбранном поле, операторе и значении.

Если задан хотя бы один фильтр, система отобразит кнопки:

  • Сбросить все — удаление всех имеющихся фильтров.

  • filter — выпадающее меню команд фильтрации:

    • Отключить все — отключение всех фильтров.

    • Включить все — включение всех фильтров.

    • Инвертировать (NOT) все — инвертирование всех фильтров.

    • Удалить все — удаление всех фильтров.

Чтобы уточнить период поиска, используйте график распределения по времени.

Применение фильтра

Чтобы применить настроенный фильтр списка, нажмите на кнопку Поиск. Будут найдены события, удовлетворяющие условиям фильтра.

Изменение фильтра

Чтобы изменить заданный пользовательский фильтр списка:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Изменить в выпадающем меню. Откроется окно изменения фильтра.

  3. Внесите изменения в требуемые поля.

  4. Нажмите на кнопку Сохранить. Измененные настройки фильтра будут сохранены.

Отключение фильтра

По умолчанию пользовательский фильтр создается включенным и учитывается при фильтрации списка.

Чтобы отключить фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Отключить в выпадающем меню. Фильтр будет отключен и не будет использоваться для фильтрации списка событий.

Вы также можете отключить сразу все настроенные фильтры. Для этого выберите опцию Отключить все в выпадающем меню кнопки filter.

Включение фильтра

Чтобы включить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Включить в выпадающем меню. Фильтр будет применен к списку событий.

Вы также можете включить сразу все настроенные фильтры. Для этого выберите опцию Включить все в выпадающем меню кнопки filter.

Инвертирование фильтра

Чтобы инвертировать условие пользовательского фильтра:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Инвертировать (NOT) в выпадающем меню. Условие фильтра будет заменено на противоположное.

Вы также можете инвертировать условия сразу всех настроенных фильтров. Для этого выберите опцию Инвертировать (NOT) все в выпадающем меню кнопки filter.

Удаление фильтра

Чтобы удалить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Удалить в выпадающем меню. Фильтр будет сброшен без возможности восстановления.

Вы также можете удалить сразу все настроенные фильтры. Для этого нажмите на кнопку Сбросить все или выберите опцию Удалить все в выпадающем меню кнопки filter.

Автоматическая фильтрация списка по значению поля

Автоматическая фильтрация доступна только в режиме базового поиска.

Вы можете настроить автоматическую фильтрацию списка несколькими способами:

Настройка автоматической фильтрации в списке

Чтобы настроить автоматическую фильтрацию списка по значению поля:

  1. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки фильтрации:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  2. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации в карточке

Чтобы настроить автоматическую фильтрацию списка по значению поля из карточки события:

  1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации по статистике поля

На панели статистики поля доступна фильтрация списка по значениям выбранного поля, а также по информации о датах его значений.

Чтобы настроить автоматическую фильтрацию списка по данным статистики поля:

  1. Нажмите на кнопку действий (more vertical) в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  2. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка таблицы

Доступные операции по настройке таблицы:

  • На панели настроек отображаются шаблоны, применяемые к таблице текущей вкладки.

  • Шаблоны для вкладок Данные и Статистика настраиваются и сохраняются отдельно друг от друга.

  • Каждый набор шаблонов привязан к конкретному хранилищу событий или активному списку.

Выбор отображаемых полей таблицы

Настройка отображаемых полей таблицы доступна только в режиме базового поиска. В режиме продвинутого поиска отображаемые поля определяются выполняемым RQL-запросом.

Чтобы выбрать отображаемые поля таблицы, используйте панель настроек либо карточку события или записи.

Чтобы настроить отображение полей с помощью карточки события или записи:

  1. На вкладке Данные нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  3. Нажмите на кнопку more vertical и задайте параметры отображения в выпадающем меню:

    • Скрыть колонку — скрытие столбца поля из таблицы;

    • Отобразить колонку — отображение столбца поля в таблице.

Если не выбрано ни одно поле для отображения, в таблице отображаются следующие поля:

  • timestamp — дата и время получения события коллектором.

  • summary — все заполненные поля найденного события в формате <field> : <value>.

    Здесь:

    • <field> — название поля;

    • <value> — значение поля.

Работа с шаблонами настроек таблицы

Шаблоны настроек таблицы доступны только в режиме базового поиска.

Для удобства можно сохранить часто используемые настройки таблицы в виде шаблона.

Шаблоны настроек таблицы доступны только в базовом поиске.

Доступные операции над шаблонами настроек таблицы:

Создание шаблона настроек таблицы

Чтобы создать шаблон настроек таблицы:

  1. Нажмите на кнопку Сохранить как шаблон в нижней части панели настроек. Отобразится окно сохранения шаблона настроек.

  2. Введите название шаблона настроек.

  3. Если необходимо сделать шаблон доступным для всех пользователей системы, установите флажок Сохранить для всех пользователей.

  4. Нажмите на кнопку Сохранить. Система сохранит шаблон и отобразит соответствующее уведомление. Новый шаблон появится в выпадающем списке Шаблон.

Применение шаблона настроек таблицы

Чтобы применить шаблон настроек таблицы:

  1. Выберите из выпадающего списка Шаблон требуемый шаблон. Настройки выбранного шаблона будут применены к таблице событий.

Поиск шаблона настроек таблицы

Чтобы найти шаблон настроек таблицы:

  1. Введите название требуемого шаблона в поле Шаблон. В выпадающем списке отобразятся шаблоны, в названии которых встречается введенный запрос.

Изменение шаблона настроек таблицы

Изменение шаблона настроек происходит путем замены его полей на текущие настройки таблицы.

Чтобы изменить шаблон:

  1. Выберите из выпадающего списка Шаблон требуемый шаблон.

  2. Внесите необходимые изменения в настройки.

  3. В выпадающем списке Шаблон нажмите на кнопку Заменить шаблон (change) в строке нужного шаблона. Отобразится окно подтверждения замены настроек шаблона.

  4. Нажмите на кнопку Заменить. Система сохранит внесенные изменения в шаблоне и отобразит соответствующее уведомление. Настройки шаблона будут изменены.

Удаление шаблона настроек таблицы

Чтобы удалить шаблон настроек таблицы:

  1. В выпадающем списке Шаблон нажмите на кнопку Удалить шаблон (trash) в строке нужного шаблона. Отобразится окно подтверждения удаления.

  2. Нажмите на кнопку Удалить. Система удалит шаблон и отобразит соответствующее уведомление. Удаленный шаблон исчезнет из списка.

Просмотр статистики полей

Статистика полей доступна только в режиме базового поиска.

Поля с типом данных array и KeyValue не отображаются в статистике.

На вкладке Статистика представлена сводная статистика по полям всех найденных событий или записей активного списка. Здесь можно просматривать рейтинг значений по полю, а также детализированные статистические данные, включая тип данных, количество значений, процент заполненных и уникальных значений.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели, не отображаются в таблице статистики для этого хранилища.

Таблица на вкладке Статистика содержит следующие столбцы:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — отображаются как процент вхождений, содержащих непустые значения, так и их абсолютное количество.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — процент уникальных значений от общего количества, а также их абсолютное количество.

Просмотр детальной статистики по полю

Чтобы отобразить детальную статистику по полю:

  1. Перейдите на вкладку Статистика.

  2. Нажмите на стрелку chevron down в строке нужного поля. В раскрывшейся панели система отобразит детализированную статистику, разделенную на следующие секции:

    • Общие сведения:

      • Тип поля — тип данных поля.

      • Заполненных значений — процентная доля заполненных значений (не пустых) от общего количества значений поля.

      • Уникальных значений — количество уникальных (неповторяющихся) значений поля.

      • Выборка — процентное соотношение количества уникальных значений к общему числу значений поля.

    • Рейтинг значений:

      • Частота встречаемости значения, указана в процентах.

      • Количество повторений значения в событиях или записях, приведено в скобках.

      • Кнопки для фильтрации событий по значению и копирования значения в буфер обмена.

        В рейтинге отображаются до 10 самых частых или редких значений, в зависимости от направления сортировки. Остальные значения объединяются в группу Другое.

    • Даты:

      Секция Даты отображается для полей с типом данных DateTime вместо секции Рейтинг значений.

      • Первая дата — минимальное значение даты из всех найденных событий.

      • Последняя дата — максимальное значение даты из всех найденных событий.

Детальную статистику по полю можно также просмотреть на вкладке Данные:

  • Через меню действий:

    1. Наведите курсор на какое-либо значение требуемого поля в списке. Рядом с полем отобразятся кнопки действий.

    2. Нажмите на кнопку действий (more vertical) в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  • Через карточку события или записи:

    1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

    2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий.

    3. Нажмите на кнопку more vertical и выберите опцию Статистика. Вместо карточки события или записи в правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

При наведении курсора на строку любого поля на панели статистики, в строке отображаются следующие кнопки:

Работа с событием или записью активного списка

Доступные операции над событиями или записями активного списка:

Просмотр события или записи

Чтобы просмотреть найденное событие или запись активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

В верхней части карточки отображается название события или записи. Справа от названия расположены кнопки для добавления события в сравнение и копирования события или записи.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу панели в нужном направлении.

В режиме базового поиска поля карточки события или записи активного списка сгруппированы следующим образом:

  • Карточка события содержит следующие поля:

    • Дата и время — поля art и timestamp с датой и временем поступления в коллектор.

    • Служебные данные — все служебные поля модели события, кроме полей raw, originalTimestamp, timestamp.

    • Сведения о событии — все регулярные поля модели события.

    • (Для базового события) Исходное событие — исходное событие, лежащее в основе просматриваемого события.

    • (Для события корреляции) Базовые события — список базовых событий с полями ID и Timestamp.

  • Карточка записи активного списка содержит группы полей:

    • Дата и время — время создания и обновления записи.

    • Поля активного списка — поля согласно схеме активного списка.

В режиме продвинутого поиска поля карточки не сгруппированы и отображаются в порядке, указанном в секции SELECT RQL-запроса.

При наведении курсора на строку любого поля отображаются следующие кнопки (только в режиме базового поиска):

Копирование события или записи

Чтобы скопировать информацию в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку copy в верхней части карточки. Система сохранит данные в буфер обмена и отобразит соответствующее уведомление.

Копирование данных поля

Вы можете копировать данные полей непосредственно из списка или из карточки. Статистику по конкретному полю можно скопировать из панели статистики соответствующего поля.

Копирование данных из списка

Чтобы скопировать данные поля из списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки действий над ним.

  3. Нажмите на кнопку more vertical и выберите опцию Копировать. Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных из карточки

Чтобы скопировать данные поля из карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  4. Нажмите на кнопку more vertical и выберите опцию Копировать. Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных статистики поля

В режиме базового поиска на панели статистики доступно копирование значений выбранного поля, а также временных меток соответствующих значений.

Чтобы скопировать данные с панели статистики поля:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку действия (more vertical) в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  3. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопку копирования данных (copy) в строке этого поля.

  4. Нажмите на кнопку копирования данных (copy). Данные выбранной строки будут скопированы в буфер обмена.

Экспорт событий и записей

Чтобы экспортировать группу событий или записей активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку export на панели инструментов. Система отобразит окно экспорта.

  3. Выберите из выпадающего списка формат экспорта: CSV или JSON.

  4. Если установлен флажок Исключить пустые поля, из результатов экспорта исключаются поля без значений. Для включения всех полей в результат экспорта снимите этот флажок.

  5. Нажмите на кнопку Экспортировать. Система загрузит все вхождения, представленные в текущей выдаче, на устройство пользователя одним файлом в выбранном формате и отобразит соответствующее уведомление.

Сравнение событий

Сравнение различных событий между собой позволяет проводить более глубокий анализ и исследование поступающих событий с целью выявления подозрительных отклонений.

Доступные операции по сравнению событий:

Добавление события в сравнение

Чтобы добавить событие в сравнение:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку compare в верхней части карточки события. Кнопка станет активной, система добавит выбранное событие в сравнение и отобразит соответствующее уведомление.

    В сравнение можно добавлять не более десяти событий.

Просмотр сравнения

Чтобы просмотреть добавленные в сравнение события:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение. Вы также можете перейти на страницу просмотра сравнения с помощью кнопки Перейти в список сравнения, отображаемой в уведомлении при добавлении события в сравнение.

Чтобы вернуться в раздел Поиск, нажмите на кнопку Назад в левой верхней части экрана.

Панель инструментов страницы сравнения событий включает в себя следующие компоненты:

  • Кнопка copy копирует данные всех событий в сравнении в буфер обмена.

  • Кнопка trash удаляет все события из сравнения.

  • Выпадающий список Поля предназначен для выбора конкретных полей событий для сравнения.

  • Переключатель Показать отличия позволяет отобразить только те поля, значения которых отличаются в каком-либо из сравниваемых событий.

  • Переключатель Скрыть пустые поля позволяет скрыть поля, не имеющие значений ни в одном из сравниваемых событий.

В рабочей области расположена таблица сравнения событий. Первый столбец таблицы содержит ключи полей событий. В остальных столбцах отображаются данные этих полей для каждого из сравниваемых событий.

В заголовке столбца каждого события расположена кнопка Удалить из сравнения (trash) для удаления события из сравнения.

Настройка сравнения полей событий

Чтобы настроить сравнение полей событий:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Выберите из выпадающего списка Поля на панели инструментов поля событий, которые требуется сравнить. Если поля не выбраны, сравнение проводится для всех полей событий.

  4. Задайте настройки отображения полей событий с помощью переключателей на панели инструментов:

    • Показать отличия — включите опцию, если требуется отобразить только те поля событий, в которых имеются отличия.

    • Скрыть пустые поля — включите опцию, если требуется скрыть все поля событий, не имеющих значений ни в одном из событий.

Копирование событий в сравнении

Чтобы скопировать данные всех сравниваемых событий в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку copy на панели инструментов страницы сравнения событий. Система сохранит данные событий из сравнения в буфер обмена и отобразит соответствующее уведомление.

Удаление события из сравнения

Чтобы удалить событие из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку trash в заголовке нужного события. Система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Вы также можете удалить событие из сравнения из его карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку compare в верхней части карточки события. Кнопка станет неактивной, система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Чтобы удалить сразу все события из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку trash на панели инструментов страницы сравнения событий. Система отобразит окно подтверждения действия.

  4. Нажмите на кнопку Удалить. Система удалит все события из сравнения и отобразит соответствующее уведомление.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение