Работа с разделом Поиск

Раздел Поиск помогает визуализировать события и записи активных списков, а также работать с ними. В этом разделе отображаются события из указанного хранилища или записи указанного активного списка, с возможностью поиска, фильтрации и редактирования вхождений.

Раздел Поиск доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

О событиях

Событие — это идентифицированный переход системы, сервиса или сети в состояние, которое указывает на возможное нарушение политики информационной безопасности, сбой средств контроля или иную ситуацию, которая может быть значимой для информационной безопасности.

R-Vision SIEM позволяет:

  • задавать модели событий для сбора данных из нескольких источников;

  • собирать события в соответствии с заданными моделями;

  • детектировать действия в системе в виде событий аудита;

  • обогащать события за счет получения дополнительных данных и установления связей с другими событиями;

  • отслеживать и визуализировать события;

  • управлять хранением и обработкой событий;

  • создавать фиды событий для отправки в R-Vision TIP и иные системы класса Threat Intelligence.

Интерфейс раздела

В верхней части раздела отображается название текущего хранилища или списка. Чтобы искать данные в другом хранилище или списке, выберите его название в выпадающем списке. Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

Панель инструментов включает в себя следующие компоненты:

  • Кнопка экспорта (export) открывает страницу экспорта событий или записей.

  • (Если выбрано хранилище событий.) Кнопка Сравнение событий (compare) открывает страницу сравнения событий.

  • Кнопка Шаблоны (save) открывает выпадающий список шаблонов. В списке вы можете найти, выбрать и удалить существующие шаблоны, а также сохранить новый шаблон, связанный с моделью события в текущей таблице.

  • Кнопка Копировать запрос с фильтрами (copy) позволяет скопировать в буфер обмена поисковый запрос, объединенный с условиями фильтра оператором AND. Скопированный запрос можно вставить в поля запросов RQL-песочницы или виджета.

  • В поле запроса указываются ключевые слова или RQL-запрос для поиска событий в выбранном хранилище или списке.

  • Поля периода предназначены для указания временного диапазона, в котором требуется искать события.

  • Кнопка Поиск позволяет начать поиск событий по заданным параметрам.

Под панелью отображается График распределения найденных записей по времени.
В правом верхнем углу графика находится кнопка для сворачивания и разворачивания.

В рабочей области отображаются две вкладки:

  • Данные — информация о найденных событиях или записях активного списка.

  • Статистика — сводные данные по полям найденных событий и записей активного списка с возможностью просмотра рейтинга значений по выбранному полю.

Вкладка Данные

На вкладке Данные отображается Список событий или записей — таблица найденных вхождений. Колонки таблицы соответствуют полям модели события выбранного хранилища, для которых задано отображение.

По умолчанию на вкладке Данные отображаются следующие поля:

По умолчанию в таблице доступен просмотр не более 500 первых записей.

Когда вы выбираете конкретное вхождение в таблице, в правой части рабочей области появляется карточка с подробной информацией.

При наведении курсора на строку любого поля в карточке события, в строке отображаются кнопки для фильтрации, поиска событий с указанным значением поля, копирования значения поля, скрытия/отображения колонки этого поля в таблице, а также кнопка для перехода на панель статистики по выбранному полю.

В верхней части карточки расположены следующие кнопки:

  • Сравнение событий (compare) — позволяет добавить событие к сравнению.

  • Копировать (copy) — копирует данные о событии в буфер обмена.

При работе с таблицей записей на вкладке Данные доступны следующие операции:

Вкладка Статистика

Поля с типом данных array и KeyValue не отображаются в статистике.

На вкладке Статистика представлена сводная информация по полям найденных событий или записей активного списка. На вкладке можно просматривать рейтинг значений по каждому из полей, а также общие статистические данные.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели, не отображаются в таблице статистики для этого хранилища.

На вкладке Статистика колонки таблицы представлены следующим образом:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — отображаются как процент вхождений, содержащих непустые значения, так и их абсолютное количество.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — процент уникальных значений от общего количества, а также их абсолютное количество.

С помощью стрелки chevron down можно развернуть или свернуть панель с детальной статистикой всех полей или выбранного поля. Детальная статистика включает секции Общие сведения, Рейтинг значений и Даты.

Секция Даты отображается для полей с типом данных DateTime вместо секции Рейтинг значений.

Направление сортировки записей в секции Рейтинг значений можно настроить для всех полей через панель выбора на вкладке, либо выборочно для каждого поля через панель с детальной статистикой.

В секции Рейтинг значений отображаются кнопки для выполнения следующих действий:

  • plus square — фильтрация событий по выбранному значению.

  • minus square — исключение значения из фильтрации.

  • copy — копирование значения в буфер обмена.

  • sort down — сортировка списка значений по убыванию или возрастанию.

При работе с таблицей записей на вкладке Статистика доступны следующие операции:

Поиск событий и записей

Чтобы выполнить поиск по событиям хранилища или записям активного списка:

  1. Перейдите в раздел Поиск.

  2. Выберите из выпадающего списка в верхней части раздела хранилище событий или активный список. Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

  3. Задайте критерии поиска:

    • Чтобы искать по ключевым словам или RQL-запросу, введите запрос в поле поиска.

      При установке курсора в поле поиска отображается панель с 5 последними запросами.

    • Чтобы искать по периоду времени, выберите из выпадающего списка фильтр:

      1. Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск событий будет выполняться в указанном диапазоне вплоть до нынешнего момента.

      2. Задать период — укажите даты начала и конца периода, за который будет выполняться поиск событий.

      3. Часто используемые — выберите в разделе один из предлагаемых периодов.

        В нижней части выпадающего списка фильтров расположена секция История поиска с 5 последними запросами.

  4. Нажмите на кнопку Поиск. Список событий, соответствующий заданным критериям, отобразится в таблице. Также над таблицей отобразится количество найденных совпадений.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только те события, найденные до прерывания поиска.
История запросов хранится в разделе Мониторинг RQL-запросов.

Поиск по подсетям

Для поиска данных по подсетям используйте оператор IN. Формат записи: %Сетевая маска%/%Префикс%.

Example 1. Примеры
sourceIp IN '::ffff:192.168.1.1/120'
sourceIp IN '2001:db8::/32'
deviceTranslatedAddress IN '203.0.113.0/24'

Работа с поисковыми шаблонами

Для удобства поиска можно сохранить часто используемые запросы в виде шаблона. Шаблон доступен в рамках модели события выбранного хранилища.

Шаблон можно сохранить как с доступом только для создателя, так и для всех пользователей системы.

Создание шаблона

Шаблон доступен только в рамках модели события, в которой он был создан.

Чтобы создать шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку Сохранить шаблон. Отобразится окно сохранения шаблона.

  4. Введите название шаблона.

  5. Введите текст поискового запроса, составленный в формате языка запросов RQL.

  6. Чтобы сохранить в шаблоне текущий заданный период, установите флажок Сохранить временной период.

  7. Чтобы сохранить в шаблоне имеющиеся пользовательские фильтры, установите флажок Сохранить фильтры.

  8. По умолчанию доступ к шаблону имеет только пользователь, создавший его. Чтобы предоставить доступ к шаблону всем пользователям системы, установите флажок Сохранить для всех пользователей.

  9. Нажмите на кнопку Сохранить. Система отобразит уведомление о создании шаблона, и шаблон появится на панели шаблонов.

Применение шаблона

В списке шаблонов доступны только шаблоны текущей модели события.

Чтобы применить шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Выберите шаблон из списка. Система применит шаблон для поиска событий.

Поиск шаблона

В списке шаблонов доступны только шаблоны, созданные для текущей модели события.

Чтобы найти шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Введите название требуемого шаблона в поле поиска. На панели отобразятся шаблоны, в названии которых встречается введенный запрос.

Удаление шаблона

В списке шаблонов доступны только шаблоны, созданные для текущей модели события.

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку trash в строке шаблона, который необходимо удалить. Отобразится окно подтверждения.

  4. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении выбранного шаблона, и шаблон исчезнет с панели шаблонов.

Работа с графиком распределения событий

График распределения найденных событий или записей по времени отображается после выполнения поиска. При поиске по хранилищу событий учитывается timestamp событий, а при поиске по активным спискам — даты создания записей. По умолчанию панель с графиком свернута.

Чтобы показать график:

  1. Нажмите на кнопку Показать график. В рабочей области раскроется панель с графиком распределения по времени.

  2. При необходимости уточните поисковый запрос:

    1. Наведите курсор на график. Курсор начнет отображаться как крестик.

    2. Выделите с помощью курсора необходимые диапазоны на графике. Система скорректирует поисковый запрос с учетом выбранного временного отрезка и отобразит уточненные данные в таблице и на графике.

Чтобы скрыть график, нажмите на кнопку Скрыть график. Панель с графиком распределения найденных событий по времени свернется.

Работа со списком событий или записей активного списка

Список найденных событий или записей отображается в виде таблицы на вкладке Данные.

Вы можете выбирать поля таблицы, настраивать количество записей для отображения, фильтровать список и просматривать статистику событий по полям.

Настройка количества отображаемых событий

По умолчанию отображаются не более 500 первых найденных записей.

Чтобы изменить количество отображаемых записей, выберите значение из выпадающего списка в нижней части страницы. Доступные варианты: 500, 1000, 5000, 10 000, 25 000.

Пользовательская фильтрация списка событий

Доступные операции над пользовательскими фильтрами:

Добавление фильтра

Чтобы добавить пользовательский фильтр списка:

  1. Нажмите на кнопку Добавить фильтр. Отобразится окно добавления фильтра.

  2. Выберите из выпадающего списка поле, по которому будут фильтроваться записи.

  3. Выберите из выпадающего списка оператор, который будет применен к значению поля:

    • = — равно.

    • != — не равно.

    • In — совпадает с перечисленными значениями. Значения указываются через запятую.

    • Like — соответствует заданному шаблону.

    • > — больше.

    • < — меньше.

    • >= — больше или равно.

    • <= — меньше или равно.

    • Between — находится в заданном диапазоне.

  4. Укажите значение поля.

  5. Если нужно инвертировать фильтр, включите переключатель Инвертировать (NOT).

  6. Если нужно указать название фильтра, включите переключатель Настроить заголовок и введите название.

  7. Нажмите на кнопку Добавить. Созданный фильтр появится рядом с кнопкой Добавить фильтр.

Если вы не указывали название фильтра, система создаст его автоматически на основе данных о выбранном поле, операторе и значении.

Если задан хотя бы один фильтр, система отобразит кнопки:

  • Сбросить все — удаление всех имеющихся фильтров.

  • filter — выпадающее меню команд фильтрации:

    • Отключить все — отключение всех фильтров.

    • Включить все — включение всех фильтров.

    • Инвертировать (NOT) все — инвертирование всех фильтров.

    • Удалить все — удаление всех фильтров.

Применение фильтра

Чтобы применить настроенный фильтр списка, нажмите на кнопку Поиск. Будут найдены события, удовлетворяющие условиям фильтра.

Изменение фильтра

Чтобы изменить заданный пользовательский фильтр списка:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Изменить в выпадающем меню. Откроется окно изменения фильтра.

  3. Внесите изменения в требуемые поля.

  4. Нажмите на кнопку Сохранить. Измененные настройки фильтра будут сохранены.

Отключение фильтра

По умолчанию пользовательский фильтр создается включенным и учитывается при фильтрации списка.

Чтобы отключить фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Отключить в выпадающем меню. Фильтр будет отключен и не будет использоваться для фильтрации списка событий.

Вы также можете отключить сразу все настроенные фильтры. Для этого выберите опцию Отключить все в выпадающем меню кнопки filter.

Включение фильтра

Чтобы включить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Включить в выпадающем меню. Фильтр будет применен к списку событий.

Вы также можете включить сразу все настроенные фильтры. Для этого выберите опцию Включить все в выпадающем меню кнопки filter.

Инвертирование фильтра

Чтобы инвертировать условие пользовательского фильтра:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Инвертировать (NOT) в выпадающем меню. Условие фильтра будет заменено на противоположное.

Вы также можете инвертировать условия сразу всех настроенных фильтров. Для этого выберите опцию Инвертировать (NOT) все в выпадающем меню кнопки filter.

Удаление фильтра

Чтобы удалить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Удалить в выпадающем меню. Фильтр будет сброшен без возможности восстановления.

Вы также можете удалить сразу все настроенные фильтры. Для этого нажмите кнопку Сбросить все или выберите опцию Удалить все в выпадающем меню кнопки filter.

Автоматическая фильтрация списка по значению поля

Вы можете настроить автоматическую фильтрацию списка несколькими способами:

Настройка автоматической фильтрации в списке

Чтобы настроить автоматическую фильтрацию списка по значению поля:

  1. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки фильтрации:

    • plus square — искать события или записи с этим значением.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  2. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации в карточке

Чтобы настроить автоматическую фильтрацию списка по значению поля из карточки события:

  1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации по статистике поля

На панели статистики поля доступна фильтрация списка по значениям выбранного поля, а также по информации о датах его значений.

Чтобы настроить автоматическую фильтрацию списка по данным статистики поля:

  1. Выберите опцию Статистика из выпадающего меню Действия (more vertical), расположенного в заголовке столбца нужного поля. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  2. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматического создание инвертированного фильтра по выбранному значения поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка таблицы

  • На панели настроек отображаются шаблоны, применяемые к таблице текущей вкладки.

  • Шаблоны для вкладок Данные и Статистика настраиваются и сохраняются отдельно друг от друга.

  • Каждый набор шаблонов привязан к конкретному хранилищу событий или активному списку.

Чтобы выбрать отображаемые поля таблицы, используйте панель настроек либо карточку события или записи.

Отображение полей таблицы настраивается на панели настроек. В разделе Поиск на панели настроек вы можете также искать поля по названию.

Чтобы настроить отображение полей с помощью карточки события или записи:

  1. На вкладке Данные нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  3. Задайте параметры отображения в выпадающем меню кнопки Действия (more vertical):

    • Скрыть колонку — скрытие колонки поля из таблицы;

    • Отобразить колонку — отображение колонки поля в таблице.

Для удобства можно сохранить часто используемые настройки таблицы в виде шаблона.

Доступные операции над шаблонами настроек таблицы:

Создание шаблона настроек таблицы

Чтобы создать шаблон настроек таблицы:

  1. Нажмите на кнопку Шаблоны настроек (save) в области заголовка панели настроек. Отобразится панель шаблонов.

  2. Нажмите на кнопку Сохранить шаблон. Отобразится окно сохранения шаблона настроек.

  3. Введите название шаблона настроек.

  4. Если необходимо сделать шаблон доступным для всех пользователей системы, установите флажок Сохранить для всех пользователей.

  5. Нажмите на кнопку Сохранить. Система отобразит уведомление о сохранении шаблона, и шаблон отобразится в списке на панели шаблонов.

Применение шаблона настроек таблицы

Чтобы применить шаблон настроек таблицы:

  1. Нажмите на кнопку Шаблоны настроек (save) в области заголовка панели настроек. Отобразится панель шаблонов.

  2. Выберите требуемый шаблон из списка. Настройки выбранного шаблона будут применены к таблице событий.

Поиск шаблона настроек таблицы

Чтобы найти шаблон настроек таблицы:

  1. Нажмите на кнопку Шаблоны настроек (save) в области заголовка панели настроек. Отобразится панель шаблонов.

  2. Введите название требуемого шаблона в поле поиска. На панели отобразятся шаблоны, в названии которых встречается введенный запрос.

Изменение шаблона настроек таблицы

Изменение шаблона настроек происходит путем замены его полей текущими настройками таблицы.

Чтобы заменить поля шаблона текущими настройками:

  1. Нажмите на кнопку Шаблоны настроек (save) в области заголовка панели настроек. Отобразится панель шаблонов.

  2. Нажмите на кнопку Заменить шаблон (change) в строке нужного шаблона. Отобразится окно подтверждения замены настроек шаблона.

  3. Нажмите на кнопку Сохранить. Система отобразит уведомление о сохранении шаблона, и настройки шаблона будут изменены.

Удаление шаблона настроек таблицы

Чтобы удалить шаблон настроек таблицы:

  1. Нажмите на кнопку Шаблоны настроек (save) в области заголовка панели настроек. Отобразится панель шаблонов.

  2. Нажмите на кнопку Удалить шаблон (trash) в строке нужного шаблона. Отобразится окно подтверждения удаления.

  3. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении шаблона, и шаблон исчезнет из списка на панели шаблонов.

Просмотр статистики полей

Поля с типом данных array и KeyValue не отображаются в статистике.

На вкладке Статистика представлена сводная статистика по полям всех найденных событий или записей активного списка. Здесь можно просматривать рейтинг значений по полю, а также детализированные статистические данные, включая тип данных, количество значений, процент заполненных и уникальных значений.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели, не отображаются в таблице статистики для этого хранилища.

На вкладке Статистика колонки таблицы представлены следующим образом:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — отображаются как процент вхождений, содержащих непустые значения, так и их абсолютное количество.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — процент уникальных значений от общего количества, а также их абсолютное количество.

Просмотр детальной статистики по полю

Чтобы отобразить детальную статистику по полю:

  1. Перейдите на вкладку Статистика.

  2. Нажмите на стрелку chevron down в строке нужного поля. В раскрывшейся панели система отобразит детализированную статистику, разделенную на следующие секции:

    • Общие сведения:

      • Тип поля — тип данных поля.

      • Заполненных значений — процентная доля заполненных значений (не пустых) от общего количества значений поля.

      • Уникальных значений — количество уникальных (неповторяющихся) значений поля.

      • Выборка — процентное соотношение количества уникальных значений к общему числу значений поля.

    • Рейтинг значений:

      • Частота встречаемости значения, указана в процентах.

      • Количество повторений значения в событиях или записях, приведено в скобках.

      • Кнопки для фильтрации событий по значению и копирования значения в буфер обмена.

        Значения, не вошедшие в топ списка по частоте, сгруппированы под записью Другое.

    • Даты:

      Секция Даты отображается для полей с типом данных DateTime вместо секции Рейтинг значений.

      • Первая дата — минимальное значение даты из всех найденных событий.

      • Последняя дата — максимальное значение даты из всех найденных событий.

Детальную статистику по полю можно также просмотреть на вкладке Данные:

  • Через меню действий:

    1. Наведите курсор на какое-либо значение требуемого поля в списке. Рядом с полем отобразятся кнопки действий.

    2. Выберите опцию Статистика из выпадающего меню кнопки Действия (more vertical). В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  • Через карточку события или записи:

    1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

    2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий.

    3. Выберите опцию Статистика из выпадающего меню кнопки Действия (more vertical). Вместо карточки события или записи в правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

При наведении курсора на строку любого поля на панели статистики, в строке отображаются следующие кнопки:

Работа с событием или записью активного списка

Доступные операции над событиями или записями активного списка:

Просмотр события или записи

Чтобы просмотреть найденное событие или запись активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

Название отображается в верхней части карточки. Там также расположены кнопки для добавления события в сравнение и копирования события или записи.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу панели в нужном направлении.

Карточка события содержит следующие поля:

  • Дата и время — поля art и timestamp с датой и временем поступления на коллектор.

  • Служебные данные — все служебные поля модели события, кроме полей raw, originalTimestamp, timestamp.

  • Сведения о событии — все регулярные поля модели события.

  • (Для базового события) Исходное событие — исходное событие, лежащее в основе просматриваемого события.

  • (Для события корреляции) Базовые события — список базовых событий с полями ID и Timestamp.

Карточка записи активного списка содержит группы полей:

  • Дата и время — время создания и обновления записи.

  • Поля активного списка — поля согласно схеме активного списка.

При наведении курсора на строку любого поля отображаются следующие кнопки:

Копирование события или записи

Чтобы скопировать информацию в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку копирования copy (Скопировать событие или Скопировать запись) в верхней части карточки. Система сохранит данные в буфер обмена и отобразит соответствующее уведомление.

Копирование данных поля

Вы можете копировать данные полей непосредственно из списка или из карточки. Статистику по конкретному полю можно скопировать из панели статистики соответствующего поля.

Копирование данных из списка

Чтобы скопировать данные поля из списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки действий над ним.

  3. Выберите опцию Копировать из выпадающего меню кнопки Действия (more vertical). Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных из карточки

Чтобы скопировать данные поля из карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  4. Выберите опцию Копировать из выпадающего меню кнопки Действия (more vertical). Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных статистики поля

На панели статистики доступно копирование значений выбранного поля, а также временных меток соответствующих значений.

Чтобы скопировать данные с панели статистики поля:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Выберите опцию Статистика из выпадающего меню Действия (more vertical), расположенного в заголовке столбца нужного поля. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  3. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопку копирования данных (copy) в строке этого поля.

  4. Нажмите на кнопку копирования данных (copy). Данные выбранной строки будут скопированы в буфер обмена.

Экспорт событий и записей

Чтобы экспортировать группу событий или записей активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Экспортировать события (если выбрано хранилище событий) или Экспортировать записи (export) на панели инструментов. Система отобразит окно экспорта.

  3. Выберите из выпадающего списка формат экспорта: CSV или JSON.

  4. Нажмите на кнопку Экспортировать. Все вхождения, представленные в выдаче на момент экспорта будут загружены на устройство пользователя одним файлом в выбранном формате. Система отобразит уведомление об успешном экспорте.

Сравнение событий

Сравнение различных событий между собой позволяет проводить более глубокий анализ и исследование поступающих событий с целью выявления подозрительных отклонений.

Доступные операции над сравнением событий:

Добавление события в сравнение

Чтобы добавить событие в сравнение:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку Сравнение событий (compare) в верхней части карточки события. Кнопка станет активной, система добавит выбранное событие в сравнение и отобразит соответствующее уведомление.

    В сравнение можно добавлять не более десяти событий.

Просмотр сравнения

Чтобы просмотреть добавленные в сравнение события:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение. Вы также можете перейти на страницу просмотра сравнения с помощью кнопки Перейти в список сравнения, отображаемой в уведомлении при добавлении события в сравнение.

Чтобы вернуться в раздел Поиск, нажмите на кнопку Назад в левой верхней части экрана.

Панель инструментов страницы сравнения событий включает в себя следующие компоненты:

  • Кнопка Копировать (copy) копирует данные всех событий из сравнения в буфер обмена.

  • Кнопка Очистить (trash) удаляет все события из сравнения.

  • Поле Поля предназначено для выбора конкретных полей событий из выпадающего списка для сравнения.

  • Переключатель Показать отличия позволяет отобразить только те поля, значения которых отличаются в каком-либо из сравниваемых событий.

  • Переключатель Скрыть пустые поля позволяет скрыть поля, не имеющие значений ни в одном из сравниваемых событий.

В рабочей области расположена таблица сравнения событий. Первый столбец таблицы содержит ключи полей событий. В остальных столбцах отображаются данные этих полей для каждого из сравниваемых событий.

В заголовке столбца каждого события расположена кнопка Удалить из сравнения (trash) для удаления события из сравнения.

Настройка сравнения полей событий

Чтобы настроить сравнение полей событий:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Выберите из выпадающего списка Поля на панели инструментов поля событий, которые требуется сравнить.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

    Если поля не выбраны, сравнение проводится для всех полей событий.

  4. Задайте настройки отображения полей событий с помощью переключателей на панели инструментов:

    • Показать отличия — включите опцию, если требуется отобразить только те поля событий, в которых имеются отличия.

    • Скрыть пустые поля — включите опцию, если требуется скрыть все поля событий, не имеющих значений ни в одном из событий.

Копирование событий в сравнении

Чтобы скопировать данные всех сравниваемых событий в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку Копировать (copy) на панели инструментов страницы сравнения событий. Система сохранит данные событий из сравнения в буфер обмена и отобразит соответствующее уведомление.

Удаление события из сравнения

Чтобы удалить событие из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку Удалить из сравнения (trash) в заголовке нужного события. Система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Вы также можете удалить событие из сравнения из его карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите кнопку Сравнение событий (compare) в верхней части карточки события. Кнопка станет неактивной, система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Чтобы удалить сразу все события из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку Сравнение событий (compare) на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка Сравнение событий (compare) доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку Очистить (trash) на панели инструментов страницы сравнения событий. Система отобразит окно подтверждения действия.

  4. Нажмите на кнопку Удалить. Система удалит все события из сравнения и отобразит соответствующее уведомление.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение