Работа с разделом Поиск

Раздел Поиск позволяет просматривать и анализировать события и записи активных списков. В этом разделе отображаются события из указанных хранилищ или записи указанного активного списка, с возможностью поиска и фильтрации вхождений с помощью пользовательских фильтров и запросов на языке RQL.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.
Если вы обновляли систему с версии ниже 2.6.0 и поиск по нескольким хранилищам не работает, пересоздайте таблицы хранилищ событий согласно инструкции Включение поиска по нескольким хранилищам событий в списке особенностей обновления с версии ниже 2.6.0.

О событиях

Событие — это идентифицированный переход системы, сервиса или сети в состояние, которое указывает на возможное нарушение политики информационной безопасности, сбой средств контроля или иную ситуацию, которая может быть значимой для информационной безопасности.

Система позволяет:

  • задавать модели событий для сбора данных из нескольких источников;

  • собирать события в соответствии с заданными моделями;

  • детектировать действия в системе в виде событий аудита;

  • обогащать события за счет получения дополнительных данных и установления связей с другими событиями;

  • отслеживать и визуализировать события;

  • управлять хранением и обработкой событий;

  • создавать фиды событий для отправки в R-Vision TIP и иные системы класса Threat Intelligence.

Режимы поиска

В системе доступны два режима поиска:

  • Базовый поиск — поиск без использования проекций и группировки результатов.

  • Продвинутый поиск — поиск с использованием проекций и группировки результатов с помощью операторов языка RQL SELECT и GROUP BY соответственно.

    Пример запроса в режиме продвинутого поиска
    SELECT count(id) as cnt, collectorId GROUP BY collectorId

    При выполнении вышеприведенного запроса данные группируются по полю collectorId и вычисляется cnt — количество записей в каждой группе. Результат запроса — таблица с двумя столбцами: cnt и collectorId.

В режиме продвинутого поиска структура результата не определяется моделью события, из-за чего некоторые функции недоступны, а именно:

По умолчанию при открытии раздела Поиск используется режим базового поиска. Режим поиска для текущего запроса определяется автоматически при нажатии кнопки Поиск и отправке запроса:

  • Запрос выполняется в режиме продвинутого поиска, если он содержит операторы GROUP BY, RIGHT JOIN, FULL JOIN или SELECT, за исключением SELECT *.

    RQL поддерживает недетерминированные функции — функции, которые могут возвращать разные результаты при каждом вызове, в том числе при одинаковых входных данных. Примеры недетерминированных функций:

    Не используйте эти функции при поиске по нескольким хранилищам, поскольку в этом случае результат их выполнения не определен.

  • В остальных случаях запрос выполняется в режиме базового поиска.

Интерфейс раздела

В верхней части раздела отображается:

  • если выбрано одно хранилище событий — название текущего хранилища;

  • если выбрано несколько хранилищ событий — количество выбранных хранилищ;

  • если выбран активный список — название активного списка.

Чтобы выбрать хранилища или активный список, по которым осуществляется поиск, используйте выпадающий список Источник событий в верхней части страницы.

Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

Вы можете отобразить выбранные хранилища в начале списка с помощью кнопки sort default.

Вы можете осуществлять одновременный поиск по хранилищам из всех баз данных событий, которые зарегистрированы в разделе Ресурсы → Базы данных событий веб-интерфейса системы.

Панель инструментов раздела включает в себя следующие компоненты:

  • Кнопка export позволяет экспортировать найденные события или записи.

  • Кнопка compare открывает страницу сравнения событий. Кнопка отображается, если для поиска выбрано одно или несколько хранилищ событий.

  • Кнопка star unfilled открывает панель избранных событий. Кнопка отображается, если для поиска выбрано одно или несколько хранилищ событий.

  • Кнопка save открывает панель для работы с поисковыми шаблонами.

  • Кнопка copy позволяет скопировать в буфер обмена текущий поисковый запрос, объединенный с условиями фильтра оператором AND. Скопированный запрос можно использовать при создании виджета.

  • Кнопка widget позволяет создать виджет на основе заданного поискового запроса. Кнопка отображается, только если для поиска выбрано одно хранилище событий или активный список и найдена хотя бы одна запись.

  • Поле запроса предназначено для ввода ключевых слов или RQL-запроса для поиска данных в выбранном хранилище или активном списке.

  • Кнопка calendar позволяет выбрать способ задания периода, в рамках которого требуется искать данные.

  • Поля периода предназначены для указания временного диапазона поиска. Зависят от выбранного способа задания периода.

  • Кнопка Поиск позволяет начать поиск данных по заданным параметрам.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только записи, найденные до прерывания поиска.

Если активен режим базового поиска, под панелью отображается график распределения найденных записей по времени. В правом верхнем углу графика находится кнопка для сворачивания и разворачивания.

Если в запросе содержится оператор GROUP BY, слева от таблицы результатов поиска отображается панель с группами найденных событий.

Вид таблицы результатов поиска зависит от открытой вкладки. Доступные вкладки:

  • Данные — содержит информацию о найденных событиях или записях активного списка.

  • Статистика — отображает сводные данные по полям найденных событий и записей активного списка с возможностью просмотра рейтинга значений по выбранному полю.

    Вкладка доступна, если выполняется базовый поиск по одному хранилищу событий или активному списку.

Интерфейс вкладки Данные

На вкладке Данные отображается список событий или записей. Список представлен в виде таблицы, набор столбцов которой формируется в зависимости от текущего режима поиска:

  • В режиме базового поиска:

    • Если выбрано одно хранилище событий — столбцы соответствуют полям модели события выбранного хранилища, для которых задано отображение.

    • Если выбраны несколько хранилищ событий — столбцы соответствуют всем полям всех выбранных хранилищ. Если поле отсутствует в модели события, в результатах поиска значение поля в строке этого события будет пустым.

      Если в моделях событий выбранных хранилищ есть поля с одинаковым именем, но разными типами данных, значения этих полей будут приведены к типу String и выведены в один столбец результата.

    • Если выбран активный список — столбцы соответствуют полям схемы активного списка.

  • В режиме продвинутого поиска столбцы соответствуют полям, заданным с помощью операторов SELECT и GROUP BY.

По умолчанию в таблице на вкладке Данные отображаются столбцы, соответствующие следующим полям:

При работе с таблицей записей на вкладке Данные доступны следующие операции:

По умолчанию в таблице доступен просмотр не более 500 первых записей.

При выборе конкретной записи в правой части рабочей области отображается ее карточка с детальной информацией.

Интерфейс вкладки Статистика

На вкладке Статистика представлена сводная информация по полям найденных событий или записей активного списка. На вкладке можно просматривать рейтинг значений по каждому из полей, а также общие статистические данные.

Данные по статистике представлены в виде таблицы со следующими столбцами:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — количество заполненных (непустых) значений поля и их процентная доля от общего количества значений.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — количество значений поля, используемых при расчете статистики, и их процентная доля от общего количества.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели или универсальной модели 2.0, не отображаются в таблице статистики для этого хранилища.

Слева от строки каждого поля в таблице расположена кнопка в виде стрелки, позволяющая показать детальную статистику по выбранному полю.

Вы также можете отобразить статистику сразу всех полей. Для этого необходимо использовать кнопку в виде стрелки слева от области заголовка таблицы.

При работе с таблицей полей на вкладке Статистика доступны следующие операции:

Доступные операции при работе с поиском:

Поиск событий и записей

Чтобы выполнить поиск по событиям хранилища или записям активного списка:

  1. Перейдите в раздел Поиск.

  2. Выберите хранилища событий или активный список из выпадающего списка Источник событий в верхней части раздела. Для быстрого поиска хранилища или активного списка начните вводить его название.

    Хранилища событий и активные списки нельзя выбирать в качестве источников одновременно. Чтобы объединить данные из хранилищ событий и активных списков, вы можете выбрать хранилища событий в качестве источников и обогатить результаты поиска данными из активных списков с помощью операторов JOIN и/или ENRICH.
    Для быстрого поиска хранилища или активного списка в выпадающем списке начните вводить его название.

  3. Чтобы искать записи по ключевым словам или RQL-запросу, введите запрос в поле поиска.

    • Если количество возвращаемых записей ограничено с помощью ключевого слова LIMIT и поиск выполняется по нескольким хранилищам, лимит будет применен к результату поиска по всем выбранным хранилищам.

      Например, выполняется поиск по двум хранилищам, в каждом из которых по 500 событий, удовлетворяющих запросу, а в запросе указано ограничение LIMIT 500. В этом случае запрос вернет только 500 записей.

    • При установке курсора в поле поиска отображается панель с 5 последними запросами.

    • Если в запросе заданы условия поиска по определенным значениям полей с помощью операторов = или IN, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.
    Если для выбранных хранилищ событий и ролей текущего пользователя заданы политики управления доступа к событиям, их правила будут неявно добавлены в секцию WHERE поискового запроса.

  4. Чтобы искать записи за период времени, нажмите на кнопку calendar и выберите из выпадающего списка способ задания периода:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

    • Часто используемые — выберите в разделе один из предлагаемых периодов.

    В нижней части выпадающего списка фильтров расположена секция История поиска с 5 последними запросами.

  5. При необходимости задайте пользовательские фильтры поиска.

  6. Нажмите на кнопку Поиск. Список записей, соответствующий заданным критериям, отобразится в таблице. Также над таблицей отобразится количество найденных совпадений.

    При необходимости вы можете остановить процесс поиска, нажав на кнопку Стоп. В разделе будут отображены только записи, найденные до прерывания поиска.

    Поиск по нескольким хранилищам выполняется для всех выбранных хранилищ. Если поле, указанное в секции WHERE, отсутствует в модели событий какого-либо хранилища, для этого хранилища в качестве значения данного поля используется NULL.

    Если при выполнении поиска по нескольким хранилищам одно или несколько выбранных хранилищ недоступны, поиск завершится с ошибкой.

    • Если в качестве источника данных выбраны несколько хранилищ событий и в запросе фигурируют поля типа JSON, то поиск завершится с ошибкой. В таком случае необходимо убрать из запроса поля типа JSON или ограничиться поиском только по одному хранилищу.

    • Если в качестве источника данных выбраны несколько хранилищ событий, часть из которых использует модели событий, созданные в системе версии ниже 2.4.0, а другая часть — модели, созданные в системе версии 2.4.0 или выше, то поиск завершится с ошибкой. Это связано с переходом на тип данных DateTime64 в служебных полях моделей событий в версии 2.4.0. В таком случае необходимо ограничиться поиском только по тем хранилищам, все модели которых были созданы либо в версии ниже 2.4.0, либо в версии 2.4.0 или выше.
История запросов поиска хранится в разделе Инструменты → Диспетчер запросов.

Особенности задания запроса поиска

  • Один и тот же RQL-запрос может приводить к разным результатам поиска, если в искомой базе данных хранится больше записей, чем указано в настройках отображения. Это связано с тем, что по умолчанию поиск записей в хранилище выполняется в произвольном порядке.

    В таких случаях для корректного поиска записей необходимо добавить атрибут ORDER BY и явно указать сортировку по требуемому полю.

    Например, для корректного отображения данных с сортировкой по времени требуется явно указать сортировку по полю timestamp в RQL-запросе:

    • ORDER BY timestamp ASC или ORDER BY timestamp — сортировка записей от старых к новым.

    • ORDER BY timestamp DESC — сортировка записей от новых к старым.

  • При поиске по полю timestamp необходимо задавать дату и время в формате YYYY-MM-DD hh:mm:ss, где:

    • YYYY-MM-DD — дата в формате "год-месяц-день".

    • hh:mm:ss — время в формате "час:минута:секунда".

    Поиск по полю timestamp
    timestamp = "2025-09-29 10:41:29"

    Условие для поля timestamp также можно задать с помощью пользовательского фильтра или через автоматическую фильтрацию с помощью кнопки plus square.

  • Система позволяет искать данные по подсетям. Формат записи подсети: <netmask>/<prefix>. Здесь:

    • <subnet> — маска подсети.

    • <prefix> — сетевой префикс. Допустимые значения зависят от версии IP-протокола:

      • для IPv4: 0—​32;

      • для IPv6: 0—​128.

    Поиск по подсетям можно выполнить следующими способами:

    • С помощью оператора IN:

      Поиск по IPv4-подсетям с оператором IN
      sourceIp IN ':192.0.2.0/24'
      Поиск по IPv6-подсетям с оператором IN
      sourceIp IN '::ffff:192.0.2.0/64'

    • С помощью функции isIPAddressInRange:

      Поиск по IPv4-подсетям с функцией isIPAddressInRange
      isIPAddressInRange(IPv4NumToString(sourceIp),'192.0.2.0/24')
      Поиск по IPv6-подсетям с функцией isIPAddressInRange
      isIPAddressInRange(IPv6NumToString(sourceIp),'::ffff:192.0.2.0/64')

Создание виджета по поисковому запросу

Создание виджета по поисковому запросу доступно, только если для поиска выбрано одно хранилище событий или активный список и найдена хотя бы одна запись.

Чтобы создать виджет на основе поискового запроса:

  1. Нажмите на кнопку widget на панели инструментов. Откроется окно создания виджета.

    При открытии окна в его правой части можно предварительно посмотреть вид диаграммы на виджете.

    Предварительный вид диаграммы отображается на основе настроек по умолчанию. Чтобы просмотреть актуальный вид диаграммы после изменения настроек виджета, нажмите на кнопку refresh в правой верхней части окна.

  2. Выберите из выпадающего списка дашборд, в котором нужно разместить виджет.

  3. Введите название виджета.

  4. При необходимости введите описание виджета.

  5. Выберите тип визуализации для виджета:

    • Столбчатая диаграмма;

    • Карта стран мира;

    • Карта с группировкой;

    • График;

    • Круговая диаграмма;

    • Столбчатая диаграмма с накоплением;

    • Таблица;

    • Итоги.

    По умолчанию установлен тип Таблица.

  6. Задайте лимит строк для виджетов вручную или с помощью кнопок minus и plus. Лимит строк определяет максимальное количество строк, которые будут использованы для построения виджета. Допустимый диапазон лимита строк: 1—​1000.

    По умолчанию для круговых диаграмм установлен лимит в 100 строк, для столбчатых диаграмм — 1000 строк.

    Если задан лимит более 6 строк, то на столбчатой диаграмме будет отображаться только часть подписей, с равномерными пропусками, чтобы избежать наложения.

  7. При необходимости измените запрос на языке RQL, заданный по умолчанию.

    Запрос формируется на основе исходного поискового запроса и примененных фильтров, которые добавляются в секцию WHERE.

  8. Укажите параметры в секции Сопоставление полей. Параметры зависят от выбранного типа диаграммы:

    • Для столбчатой диаграммы: Легенда, Значение, Группировка.

    • Для карты стран мира: Страна, Количество.

    • Для карты с группировкой: столбцы и соответствующие им атрибуты из запроса.

      Для карты с группировкой также доступна секция полей Координаты, в которой необходимо указать атрибуты из запроса, возвращающие широту и долготу.

    • Для графика: Ось X, Ось Y, Группировка.

    • Для круговой диаграммы: Легенда, Значение.

    • Для столбчатой диаграммы с накоплением: Легенда, Значение, Группировка.

    • Для таблицы: столбцы и соответствующие им атрибуты из запроса — по умолчанию заполнены идентично их порядку и отображению согласно настройкам таблицы.

    • Для итогов: Значение.

    Подробности о разных типах диаграмм виджетов приведены в разделе Работа с виджетами.
    При использовании группировки на виджетах отображаются только первые 20 групп.

  9. Выберите из выпадающего списка способ задания периода и установите период:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

    По умолчанию настройки периода заданы согласно параметрам поиска.

  10. Для регулярного обновления данных на виджете установите переключатель Включить автообновление в активное положение и укажите периодичность обновления:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

    Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

  11. Нажмите на кнопку Создать. Система создаст виджет и отобразит соответствующее уведомление. Чтобы открыть дашборд с добавленным виджетом, нажмите на кнопку Перейти к виджету.

Работа с поисковыми шаблонами

Для удобства поиска можно сохранить текущий запрос в виде шаблона.

Доступные операции над поисковыми шаблонами:

Создание шаблона

Чтобы создать шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку Создать шаблон. Отобразится окно сохранения шаблона.

  4. Введите название шаблона.

  5. При необходимости введите описание шаблона.

  6. Выберите каталог раздела Экспертиза, в который будет помещен шаблон.

  7. Чтобы сохранить в шаблоне текущий заданный период, установите флажок Сохранить временной период.

  8. Чтобы сохранить в шаблоне имеющиеся пользовательские фильтры, установите флажок Сохранить фильтры.

  9. Нажмите на кнопку Создать. Система создаст шаблон и отобразит соответствующее уведомление. Новый шаблон появится на панели шаблонов.

Поиск шаблона

Чтобы найти нужный шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Введите название требуемого шаблона в поле поиска. На панели отобразятся шаблоны, в названии которых встречается введенный запрос.

Применение шаблона

Чтобы применить шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Выберите шаблон из списка. Система применит шаблон для поиска событий или записей активных списков.

Обновление шаблона

Чтобы обновить существующий шаблон:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку change в правой части строки нужного шаблона. Отобразится окно обновления шаблона.

  4. Внесите необходимые изменения в настройки шаблона.

  5. Нажмите на кнопку Обновить и подтвердите обновление. Шаблон будет обновлен. В нем будет сохранен поисковый запрос, введенный в поле запроса на момент редактирования. Фильтры и временной период будут сохранены, если установлены флажки Сохранить временной период и Сохранить фильтры.

Просмотр конфигурации шаблона

Чтобы просмотреть RObject-конфигурацию шаблона:

  1. Перейдите в раздел Поиск.

  2. Нажмите на кнопку Шаблоны (save). Отобразится панель шаблонов.

  3. Нажмите на кнопку link в правой части строки нужного шаблона. Система откроет в новой вкладке браузера раздел Экспертиза и отобразит окно просмотра RObject-конфигурации выбранного шаблона поиска.

Работа с графиком распределения событий

График распределения событий доступен только в режиме базового поиска.

График распределения найденных событий или записей по времени отображается после выполнения поискового запроса.

Результаты на графике расположены от более старых к более новым. Для построения графика используются следующие временные значения:

  • При поиске в хранилище событий — временные метки событий (timestamp).

  • При поиске в активных списках — дата создания записей.

Результаты разбиваются на периоды, длительность которых зависит от общего периода поиска. При наведении курсора на определенный период отображаются даты и время его начала и окончания, а также количество событий или записей в этом периоде.

Доступные операции над графиком:

Отображение и скрытие графика

Панель с графиком по умолчанию свернута. Чтобы отобразить график, нажмите на кнопку Показать график (chevron down). Над таблицей найденных записей раскроется панель с графиком распределения по времени.

Чтобы скрыть график, нажмите на кнопку Скрыть график (chevron up). Панель с графиком распределения найденных событий по времени свернется.

Уточнение периода поиска с помощью графика

Вы можете уточнить временной период поискового запроса с помощью графика. Для этого:

  1. Наведите курсор на график. Курсор примет форму крестика.

  2. Нажмите на нужный период или, удерживая курсор, выделите несколько периодов. Система скорректирует поисковый запрос с учетом выбранного временного диапазона и отобразит уточненные данные в таблице и на графике.

Работа с группами событий или записей

Панель групп доступна только в режиме продвинутого поиска, если в запросе есть оператор GROUP BY.

Панель с группами найденных событий или записей отображается после выполнения поискового запроса. Количество групп отображается в заголовке панели.

Панель содержит следующие компоненты:

  • Кнопка sort default позволяет выбрать поле для сортировки списка групп.

  • Кнопка export позволяет экспортировать данные групп

  • Поле поиска позволяет отфильтровать список по значениям полей.

По умолчанию список групп сортируется по первому полю в результате RQL-запроса:

  • для текстового поля — по возрастанию;

  • для числового поля — по убыванию.

Доступные операции над группами событий или записей:

Экспорт данных групп

Чтобы экспортировать группу событий или записей активного списка, нажмите на кнопку export на панели групп. Система загрузит данные всех групп на устройство пользователя одним файлом в формате CSV и отобразит соответствующее уведомление.

Просмотр событий или записей группы

Чтобы отобразить события или записи из конкретной группы, нажмите на карточку или строку группы. В списке событий или записей отобразятся только те, которые относятся к этой группе.

Работа со списком событий или записей активного списка

Список найденных событий или записей отображается в виде таблицы на вкладке Данные.

Доступные операции над списком событий или записей:

Настройка количества отображаемых событий

По умолчанию отображаются не более 500 первых найденных записей.

Чтобы изменить количество отображаемых записей, выберите значение из выпадающего списка в нижней части страницы. Доступные варианты: 500, 1000, 5000, 10 000, 25 000.

Пользовательская фильтрация списка событий

Доступные операции над пользовательскими фильтрами:

  • Если в секции WHERE RQL-запроса заданы условия фильтрации, при формировании запроса в БД они объединяются оператором AND с фильтрами, настроенными через графический интерфейс.

  • Если в настройках профиля изменен часовой пояс, фильтры по времени перестроятся с учетом этого изменения.

    Например, если изначально был выбран часовой пояс GMT+3 Moscow и настроена фильтрация по времени 00:00:00, то после изменения часового пояса на GMT+5 Yekaterinburg фильтрация данных начнет выполняться по времени 02:00:00. В таком случае, если требуется, чтобы фильтрация происходила по времени 00:00:00 в текущем часовом поясе, необходимо задать фильтр заново.

Добавление фильтра

Чтобы добавить пользовательский фильтр списка:

  1. Нажмите на кнопку Добавить фильтр. Отобразится окно добавления фильтра.

  2. Укажите поле, по которому будут фильтроваться записи.

    Выбор полей ограничен моделями выбранных хранилищ событий или схемой активного списка. Для полей типа Array создание фильтра недоступно.

    Чтобы обратиться к вложенному полю внутри поля типа JSON, используйте последовательность атрибутов, разделенных точкой. Например, data.network.src_ip.

    В режиме продвинутого поиска можно задать условия фильтрации полей типа Array, а также полей, не входящих в модель (например, псевдонимов), в секции WHERE RQL-запроса.

    Для полей автоматически устанавливается тип: для вложенных полей JSON — тип String, для остальных полей — тип согласно модели событий. Поменять тип невозможно.

  3. Выберите из выпадающего списка оператор, который будет применен к значению поля. Список доступных операторов зависит от типа поля:

    • Для всех типов:

      • = — равно.

        Если в фильтре задано условие поиска по определенному значению поля с помощью оператора =, соответствующее поле для найденных записей на вкладке Данные будет подсвечиваться.

      • != — не равно.

    • Для всех типов, кроме JSON:

      • In — совпадает с перечисленными значениями. Значения указываются через запятую.

        Если в фильтре задано условие поиска по определенному значению поля с помощью оператора In, соответствующее поле для найденных записей на вкладке Данные будет подсвечиваться.

    • Для строковых типов и JSON:

      • Like — соответствует заданному шаблону.

        Шаблон может включать обычные символы и следующие метасимволы:

        • % — обозначает любое количество произвольных символов или отсутствие символов.

        • _ — обозначает один произвольный символ.

        • \ — используется для экранирования символов %, _ и \.

    • Для числовых форматов и дат:

      • > — больше.

      • < — меньше.

      • >= — больше или равно.

      • <= — меньше или равно.

      • Between — находится в заданном диапазоне.

  4. Укажите значение поля.

    Указывайте значение JSON без символов новой строки и пробелов, например:

    {"is_active":true,"version":"2"}

    Для типа данных UInt не поддерживаются отрицательные числа. Чтобы получить корректные результаты поиска, указывайте значение больше либо равно 0.

  5. Если нужно инвертировать фильтр, переведите переключатель Инвертировать (NOT) в активное положение.

  6. Если нужно указать название фильтра, переведите переключатель Настроить заголовок в активное положение и введите название.

  7. Нажмите на кнопку Добавить. Созданный фильтр появится рядом с кнопкой Добавить фильтр.

Если вы не указывали название фильтра, система создаст его автоматически на основе данных о выбранном поле, операторе и значении.

Если задан хотя бы один фильтр, система отобразит кнопки:

  • Сбросить все — удаление всех имеющихся фильтров.

  • filter — выпадающее меню команд фильтрации:

    • Отключить все — отключение всех фильтров.

    • Включить все — включение всех фильтров.

    • Инвертировать (NOT) все — инвертирование всех фильтров.

    • Удалить все — удаление всех фильтров.

Чтобы уточнить период поиска, используйте график распределения по времени.

Применение фильтра

Чтобы применить настроенный фильтр списка, нажмите на кнопку Поиск. Будут найдены события, удовлетворяющие условиям фильтра.

  • Если в качестве источника данных выбраны несколько хранилищ событий, при применении фильтра поиск осуществляется по всем этим хранилищам.

  • Если в хранилище отсутствует поле, по которому применяется фильтр, для этого хранилища в качестве значения данного поля используется NULL.

Изменение фильтра

Чтобы изменить заданный пользовательский фильтр списка:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Изменить в выпадающем меню. Откроется окно изменения фильтра.

  3. Внесите изменения в требуемые поля.

  4. Нажмите на кнопку Сохранить. Измененные настройки фильтра будут сохранены.

Отключение фильтра

По умолчанию пользовательский фильтр создается включенным и учитывается при фильтрации списка.

Чтобы отключить фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Отключить в выпадающем меню. Фильтр будет отключен и не будет использоваться для фильтрации списка событий.

Вы также можете отключить сразу все настроенные фильтры. Для этого выберите опцию Отключить все в выпадающем меню кнопки filter.

Включение фильтра

Чтобы включить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Включить в выпадающем меню. Фильтр будет применен к списку событий.

Вы также можете включить сразу все настроенные фильтры. Для этого выберите опцию Включить все в выпадающем меню кнопки filter.

Инвертирование фильтра

Чтобы инвертировать условие пользовательского фильтра:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Инвертировать (NOT) в выпадающем меню. Условие фильтра будет заменено на противоположное.

Вы также можете инвертировать условия сразу всех настроенных фильтров. Для этого выберите опцию Инвертировать (NOT) все в выпадающем меню кнопки filter.

Удаление фильтра

Чтобы удалить пользовательский фильтр:

  1. Нажмите на стрелку слева от названия фильтра. Отобразится выпадающее меню действий над фильтром.

  2. Выберите опцию Удалить в выпадающем меню. Фильтр будет сброшен без возможности восстановления.

Вы также можете удалить сразу все настроенные фильтры. Для этого нажмите на кнопку Сбросить все или выберите опцию Удалить все в выпадающем меню кнопки filter.

Автоматическая фильтрация списка по значению поля

Автоматическая фильтрация доступна только в режиме базового поиска для полей всех типов, кроме Array и JSON.

Для вложенных полей JSON автоматическая фильтрация недоступна, если в ключе содержится индекс массива.

Вы можете настроить автоматическую фильтрацию списка несколькими способами:

Настройка автоматической фильтрации в списке

Чтобы настроить автоматическую фильтрацию списка по значению поля:

  1. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки фильтрации:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматическое создание инвертированного фильтра по выбранному значению поля.

  2. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации в карточке

Чтобы настроить автоматическую фильтрацию списка по значению поля из карточки события:

  1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматическое создание инвертированного фильтра по выбранному значению поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка автоматической фильтрации по статистике поля

На панели статистики поля доступна фильтрация списка по значениям выбранного поля, а также по информации о датах его значений.

Чтобы настроить автоматическую фильтрацию списка по данным статистики поля:

  1. Нажмите на кнопку действий more vertical в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  2. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопки фильтрации в строке этого поля:

    • plus square — искать события или записи с этим значением.

      Если применить данный фильтр по значению поля, соответствующие поля для найденных записей на вкладке Данные будут подсвечиваться.

    • minus square — исключить события или записи с этим значением. Исключение задается через автоматическое создание инвертированного фильтра по выбранному значению поля.

  3. Нажмите на одну из кнопок фильтрации для автоматического создания фильтра. Заданный фильтр отобразится в списке фильтров слева от кнопки Добавить фильтр.

Настройка таблицы

Доступные операции по настройке таблицы:

  • На панели настроек отображаются шаблоны, применяемые к таблице текущей вкладки.

  • Шаблоны для вкладок Данные и Статистика настраиваются и сохраняются отдельно друг от друга.

  • Каждый набор шаблонов привязан к конкретному хранилищу событий или активному списку.

Выбор отображаемых полей таблицы

Настройка отображаемых полей таблицы доступна только в режиме базового поиска. В режиме продвинутого поиска отображаемые поля определяются выполняемым RQL-запросом.

Чтобы выбрать отображаемые поля таблицы, используйте панель настроек либо карточку события или записи.

Чтобы настроить отображение полей с помощью карточки события или записи:

  1. На вкладке Данные нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

  3. Нажмите на кнопку more vertical и задайте параметры отображения в выпадающем меню:

    • Скрыть колонку — скрытие столбца поля из таблицы;

    • Отобразить колонку — отображение столбца поля в таблице.

Если не выбрано ни одно поле для отображения, в таблице отображаются следующие поля:

  • timestamp — дата и время получения события коллектором.

  • summary — все заполненные поля найденного события в формате <field> : <value>.

    Здесь:

    • <field> — название поля;

    • <value> — значение поля.

Работа с шаблонами настроек таблицы

Шаблоны настроек таблицы доступны только в режиме базового поиска.

Для удобства можно сохранить часто используемые настройки таблицы в виде шаблона.

Доступные операции над шаблонами настроек таблицы:

Создание шаблона настроек таблицы

Чтобы создать шаблон настроек таблицы:

  1. Нажмите на кнопку Сохранить как шаблон в нижней части панели настроек. Отобразится окно сохранения шаблона настроек.

  2. Введите название шаблона настроек.

  3. Если необходимо сделать шаблон доступным для всех пользователей системы, установите флажок Сохранить для всех пользователей.

  4. Нажмите на кнопку Сохранить. Система сохранит шаблон и отобразит соответствующее уведомление. Новый шаблон появится в выпадающем списке Шаблон.

Применение шаблона настроек таблицы

Чтобы применить шаблон настроек таблицы, выберите его из выпадающего списка Шаблон. Настройки выбранного шаблона будут применены к таблице событий.

Поиск шаблона настроек таблицы

Чтобы найти шаблон настроек таблицы, введите его название в поле Шаблон. В выпадающем списке отобразятся шаблоны, в названии которых встречается введенный запрос.

Изменение шаблона настроек таблицы

Изменение шаблона настроек происходит путем замены его полей на текущие настройки таблицы.

Чтобы изменить шаблон:

  1. Выберите из выпадающего списка Шаблон требуемый шаблон.

  2. Внесите необходимые изменения в настройки.

  3. В выпадающем списке Шаблон нажмите на кнопку Заменить шаблон (change) в строке нужного шаблона. Отобразится окно подтверждения замены настроек шаблона.

  4. Нажмите на кнопку Заменить. Система сохранит внесенные изменения в шаблоне и отобразит соответствующее уведомление. Настройки шаблона будут изменены.

Удаление шаблона настроек таблицы

Чтобы удалить шаблон настроек таблицы:

  1. В выпадающем списке Шаблон нажмите на кнопку Удалить шаблон (trash) в строке нужного шаблона. Отобразится окно подтверждения удаления.

  2. Нажмите на кнопку Удалить. Система удалит шаблон и отобразит соответствующее уведомление. Удаленный шаблон исчезнет из списка.

Работа со статистикой полей

Статистика полей доступна только в режиме базового поиска по одному хранилищу событий или активному списку.

Поля с типом данных Array, JSON и KeyValue не отображаются в статистике.

На вкладке Статистика представлена сводная статистика по полям всех найденных событий или записей активного списка. Здесь можно просматривать рейтинг значений по полю, а также детализированные статистические данные, включая тип данных, количество значений, процент заполненных и уникальных значений.

Поля, которые отсутствуют в хранилище событий, но при этом имеются в универсальной модели или универсальной модели 2.0, не отображаются в таблице статистики для этого хранилища.

Таблица на вкладке Статистика содержит следующие столбцы:

  • Поле — название поля события или записи активного списка.

  • Тип — тип данных поля.

  • Заполненных значений — отображаются как процент вхождений, содержащих непустые значения, так и их абсолютное количество.

  • Уникальных значений — количество уникальных значений поля.

  • Выборка — процент уникальных значений от общего количества, а также их абсолютное количество.

Доступные операции при работе со статистикой:

Просмотр детальной статистики по полю

Чтобы отобразить детальную статистику по полю:

  1. Перейдите на вкладку Статистика.

  2. Нажмите на стрелку chevron down в строке нужного поля. В раскрывшейся панели система отобразит детализированную статистику, сгруппированную по следующим секциям:

    • Общие сведения:

      • Тип поля — тип данных поля.

      • Заполненных значений — процентная доля заполненных значений (не пустых) от общего количества значений поля.

      • Уникальных значений — количество уникальных (неповторяющихся) значений поля.

      • Выборка — процентное соотношение количества уникальных значений к общему числу значений поля.

    • Рейтинг значений:

      • Частота встречаемости значения, указана в процентах.

      • Количество повторений значения в событиях или записях, приведено в скобках.

      • Кнопки для фильтрации событий по значению и копирования значения в буфер обмена.

        В рейтинге отображаются до 10 самых частых или редких значений, в зависимости от направления сортировки.

        При необходимости вы можете загрузить следующие 10 значений при их наличии, нажав на кнопку Загрузить еще.

      Справа от заголовка секции также расположены следующие кнопки:

      • sort up или sort down позволяют отфильтровать значения в рейтинге по возрастанию или убыванию.

      • Создать виджет (widget) позволяет создать виджет на основе статистики по полю.

      Секция Рейтинг значений отображается для полей следующих типов данных: Bool, Enum, Float, IPv4, IPv6, LCString, Mac, String, UInt, UUID.

    • Даты:

      • Первая дата — минимальное значение даты из всех найденных событий.

      • Последняя дата — максимальное значение даты из всех найденных событий.

      Секция Даты отображается для полей с типом данных DateTime или DateTime64.

Детальную статистику по полю можно также просмотреть на вкладке Данные:

  • Через меню действий:

    1. Наведите курсор на какое-либо значение требуемого поля в списке. Рядом с полем отобразятся кнопки действий.

    2. Нажмите на кнопку действий more vertical в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  • Через карточку события или записи:

    1. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

    2. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий.

    3. Нажмите на кнопку more vertical и выберите опцию Статистика. Вместо карточки события или записи в правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

При просмотре детальной статистики на вкладке Данные кнопка Создать виджет (widget) отображается в нижней части панели статистики.

При наведении курсора на строку любого поля на панели статистики, в строке отображаются следующие кнопки:

Создание виджета со статистикой по полю

Чтобы создать виджет со статистикой по полю:

  1. На панели статистики нажмите на кнопку Создать виджет (widget). Откроется окно создания виджета.

    Если у вас открыт просмотр детальной статистики по всем полям, то перед созданием виджета необходимо дождаться прогрузки статистики.

    При открытии окна в его правой части можно предварительно посмотреть вид диаграммы на виджете.

    Предварительный вид диаграммы отображается на основе настроек по умолчанию. Чтобы просмотреть актуальный вид диаграммы после изменения настроек виджета, нажмите на кнопку refresh в правой верхней части окна.

  2. Выберите из выпадающего списка дашборд, в котором нужно разместить виджет.

  3. Введите название виджета.

  4. При необходимости введите описание виджета.

  5. Выберите тип визуализации для виджета:

    • Столбчатая диаграмма;

    • Карта стран мира;

    • Карта с группировкой;

    • График;

    • Круговая диаграмма;

    • Столбчатая диаграмма с накоплением;

    • Таблица;

    • Итоги.

    По умолчанию установлен тип Столбчатая диаграмма.

  6. Задайте лимит строк для виджетов вручную или с помощью кнопок minus и plus. Лимит строк определяет максимальное количество строк, которые будут использованы для построения виджета. Допустимый диапазон лимита строк: 1—​1000.

    По умолчанию для круговых диаграмм установлен лимит в 100 строк, для столбчатых диаграмм — 1000 строк.

    Если задан лимит более 6 строк, то на столбчатой диаграмме будет отображаться только часть подписей, с равномерными пропусками, чтобы избежать наложения.

  7. При необходимости измените запрос на языке RQL, заданный по умолчанию.

    Запрос формируется на основе исходного поискового запроса и примененных фильтров, которые добавляются в секцию WHERE. Поле, по которому построена статистика, добавляется в секцию GROUP BY. В запрос автоматически добавляется функция count() для подсчета количества записей.

  8. Укажите параметры в секции Сопоставление полей. Параметры зависят от выбранного типа диаграммы:

    • Для столбчатой диаграммы:

      • Легенда — по умолчанию установлено название поля, по которому построена статистика.

      • Значение — по умолчанию установлено значение count.

      • Группировка.

    • Для карты стран мира: Страна, Количество.

    • Для карты с группировкой: столбцы и соответствующие им атрибуты из запроса.

      Для карты с группировкой также доступна секция полей Координаты, в которой необходимо указать атрибуты из запроса, возвращающие широту и долготу.

    • Для графика: Ось X, Ось Y, Группировка.

    • Для круговой диаграммы:

      • Легенда — по умолчанию установлено название поля, по которому построена статистика.

      • Значение — по умолчанию установлено значение count.

    • Для столбчатой диаграммы с накоплением: Легенда, Значение, Группировка.

    • Для таблицы: столбцы и соответствующие им атрибуты из запроса.

    • Для итогов: Значение — по умолчанию установлено значение count.

    Подробности о разных типах диаграмм виджетов приведены в разделе Работа с виджетами.
    При использовании группировки на виджетах отображаются только первые 20 групп.

  9. Выберите из выпадающего списка способ задания периода и установите период:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

    По умолчанию настройки периода заданы согласно параметрам поиска.

  10. Для регулярного обновления данных на виджете установите переключатель Включить автообновление в активное положение и укажите периодичность обновления:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

    Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

  11. Нажмите на кнопку Создать. Система создаст виджет и отобразит соответствующее уведомление. Чтобы открыть дашборд с добавленным виджетом, нажмите на кнопку Перейти к виджету.

Работа с событием или записью активного списка

Доступные операции над событиями или записями активного списка:

Просмотр события или записи

Чтобы просмотреть найденное событие или запись активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

В верхней части карточки отображается идентификатор записи. Справа от идентификатора расположена кнопка more vertical, при нажатии на которую открывается выпадающее меню с действиями, доступными для выбранной записи.

Чтобы изменить ширину карточки, наведите курсор на ее левую границу. Курсор примет вид двунаправленной стрелки. Перетащите левую границу карточки в нужном направлении.

Состав и порядок полей карточки зависит от режима поиска и типа сущности:

  • Карточка события в режиме базового поиска содержит следующие вкладки:

    • Информация — поля модели, а также информация об исходном событии или базовых событиях.

    • Данные JSON — данные полей с типом данных JSON.

  • Карточка записи активного списка в режиме базового поиска содержит группы полей:

    • Закрепленные поля, отсортированные по времени закрепления.

    • Все остальные поля, упорядоченные согласно схеме активного списка.

  • В режиме продвинутого поиска поля карточки не сгруппированы и отображаются в порядке, указанном в секции SELECT RQL-запроса.

В режиме базового поиска при наведении курсора на строку поля отображаются следующие кнопки:

  • plus square и minus square — кнопки фильтрации списка по данным из этого поля — для всех полей, кроме полей типа JSON;

  • more vertical — кнопка, открывающая меню следующих дополнительных опций над полем:

В режиме базового поиска можно настраивать отображение полей в карточке:

  • Чтобы закрепить поле, наведите курсор на его строку и нажмите на кнопку pin, появившуюся слева от названия поля.

    Чтобы открепить поле, нажмите на кнопку unpin слева от его названия.

    Список закрепленных полей сохраняется индивидуально для текущего пользователя системы в рамках конкретного хранилища событий или активного списка.

  • Поле Поиск по полям позволяет искать поля по названию и значению. Закрепленные поля не скрываются при поиске.

  • Переключатель Скрыть пустые поля события (для события) или Скрыть пустые поля записи (для записи активного списка) позволяет скрыть поля, не имеющие значений. Закрепленные поля не скрываются при установленном переключателе.

Вкладка Информация

Вкладка Информация содержит следующие группы полей:

  • Идентификатор и название хранилища, в котором находится событие.

  • Названия и значения всех полей в модели событий хранилища, в котором находится событие.

    Если выполняется поиск по нескольким хранилищам, то в карточке события отображаются только поля модели событий хранилища, в котором оно находится.

    Поля расположены в следующем порядке:

    • Закрепленные поля, отсортированные по времени закрепления.

    • Остальные поля модели события в соответствии с порядком в ней, кроме поля raw.

    • Поле _storageId, содержащее идентификатор хранилища, в котором находится событие. Отображается только при поиске по нескольким хранилищам.

    • Разобранные данные полей с типом JSON всех уровней вложенности. Поля отображаются с названиями вида <Название поля модели>.<Ключ 1>.<Ключ 2>…​.<Ключ N>. Например, data.source.ip.

  • Исходное событие (для базового события) — исходное событие, лежащее в основе просматриваемого события, то есть содержимое поля raw в структурированном виде.

    Кнопка Скопировать (copy) позволяет скопировать данные в буфер обмена.

  • Базовые события (для события корреляции) — список базовых событий в виде таблицы со следующими столбцами:

    • ID;

    • Timestamp.

    Кнопка Найти все (search) позволяет отфильтровать события по полю id, используя все значения из списка.

    Кнопки plus square и minus square в каждой строке списка позволяют отфильтровать события по полю id со значением текущего события.

Вкладка Данные JSON

Вкладка Данные JSON содержит данные каждого поля с типом JSON в виде интерактивного дерева элементов.

Кнопка Скопировать (copy) позволяет скопировать данные поля в буфер обмена.

Копирование события или записи

Чтобы скопировать информацию в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку copy в верхней части карточки. Система сохранит данные в буфер обмена и отобразит соответствующее уведомление.

Копирование данных поля

Вы можете копировать данные полей непосредственно из списка или из карточки. Статистику по конкретному полю можно скопировать из панели статистики соответствующего поля.

Копирование данных из списка

Чтобы скопировать данные поля из списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Наведите курсор на значение требуемого поля какого-либо события или записи в списке. Рядом с полем отобразятся кнопки действий над ним.

  3. Нажмите на кнопку more vertical и выберите опцию Копировать. Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных из карточки

Чтобы скопировать данные поля из карточки:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Скопируйте данные нужного поля:

    • Чтобы скопировать данные исходного события или данные JSON, нажмите на кнопку Скопировать (copy) у соответствующего поля.

    • Чтобы скопировать данные конкретного поля события:

      1. Наведите курсор на требуемое поле в карточке. В строке поля отобразятся кнопки действий над ним.

      2. Нажмите на кнопку more vertical и выберите опцию Копировать.

    Данные выбранного поля будут скопированы в буфер обмена.

Копирование данных статистики поля

В режиме базового поиска на панели статистики доступно копирование значений выбранного поля, а также временных меток соответствующих значений.

Чтобы скопировать данные с панели статистики поля:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку действия more vertical в заголовке столбца нужного поля и выберите опцию Статистика. В правой части рабочей области отобразится панель с детальной статистикой по столбцу выбранного поля.

  3. Наведите курсор на строку требуемого поля на панели статистики. Система отобразит кнопку копирования данных copy в строке этого поля.

  4. Нажмите на кнопку copy. Данные выбранной строки будут скопированы в буфер обмена.

Экспорт событий и записей

При экспорте найденных данных система автоматически выполняет повторный запрос на поиск с теми же параметрами, даже если поиск уже был выполнен вручную. Это может привести к ситуациям, когда в экспорт попадают новые данные, найденные за промежуток времени между ручным поиском и экспортом.

Чтобы избежать таких ситуаций и добиться совпадения экспортированных данных и данных в таблице раздела, необходимо указывать конкретный временной период поиска. Например, с 2025-05-15, 12:00:00 по 2025-05-15, 12:05:00.

Чтобы экспортировать группу событий или записей активного списка:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на кнопку export на панели инструментов. Система отобразит окно экспорта.

  3. Выберите из выпадающего списка формат экспорта: CSV или JSON.

  4. Если установлен флажок Исключить пустые поля, из результатов экспорта исключаются поля без значений. Для включения всех полей в результат экспорта снимите этот флажок.

  5. Нажмите на кнопку Экспортировать. Система загрузит все вхождения, представленные в текущей выдаче, на устройство пользователя одним файлом в выбранном формате и отобразит соответствующее уведомление.

Сравнение событий

Сравнение различных событий между собой позволяет проводить более глубокий анализ и исследование поступающих событий с целью выявления подозрительных отклонений.

Доступные операции по сравнению событий:

Добавление события в сравнение

Чтобы добавить событие в сравнение:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на строку события в списке. Система отобразит в правой части экрана карточку этого события с подробной информацией о нем.

  3. Выберите опцию Добавить в сравнение в выпадающем меню кнопки действий more vertical в верхней части карточки. Система добавит событие в список сравнения и отобразит соответствующее уведомление.

    В сравнение можно добавлять не более десяти событий.

Просмотр сравнения

Чтобы просмотреть добавленные в сравнение события:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение. Вы также можете перейти на страницу просмотра сравнения с помощью кнопки Перейти в список сравнения, отображаемой в уведомлении при добавлении события в сравнение.

Чтобы вернуться в раздел Поиск, нажмите на кнопку Назад в левой верхней части экрана.

Панель инструментов страницы сравнения событий включает в себя следующие компоненты:

  • Кнопка copy копирует данные всех событий в сравнении в буфер обмена.

  • Кнопка trash удаляет все события из сравнения.

  • Переключатель Показать отличия позволяет отобразить только те поля, значения которых отличаются в каком-либо из сравниваемых событий.

  • Переключатель Скрыть пустые поля позволяет скрыть поля, не имеющие значений ни в одном из сравниваемых событий.

  • Переключатель Сравнить с эталоном позволяет выбрать эталонное событие для сравнения и подсветить отличия в полях других событий.

    Кнопка settings позволяет настроить способ сравнения событий с эталоном. Кнопка доступна только при активном переключателе Сравнить с эталоном.

  • Выпадающий список Поля предназначен для выбора конкретных полей событий для сравнения.

В рабочей области расположена таблица сравнения событий. Первый столбец таблицы содержит ключи полей событий. В остальных столбцах отображаются данные этих полей для каждого из сравниваемых событий.

В заголовке столбца каждого события расположена кнопка Удалить из сравнения (trash) для удаления события из сравнения.

Настройка сравнения полей событий

Чтобы настроить сравнение полей событий:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. При необходимости выберите из выпадающего списка Поля на панели инструментов поля событий, которые требуется сравнить. Если поля не выбраны, сравнение проводится для всех полей событий.

  4. При необходимости задайте настройки отображения полей событий с помощью переключателей на панели инструментов:

    • Показать отличия — включите опцию, если требуется отобразить только те поля событий, в которых имеются отличия.

    • Скрыть пустые поля — включите опцию, если требуется скрыть все поля событий, не имеющих значений ни в одном из событий.

    • Сравнить с эталоном — включите опцию, если требуется сравнить события с эталоном и подсветить в них соответствующие отличия.

      По умолчанию в качестве эталона выбирается первое событие в списке сравниваемых событий. При необходимости вы можете назначить эталоном другое событие, нажав на кнопку pin в его заголовке.

      Чтобы настроить способ сравнения событий с эталоном, нажмите на кнопку settings на панели инструментов и выберите вариант сравнения:

      • По символам — значения полей сравниваются посимвольно.

      • По словам — значения полей сравниваются по последовательностям символов. В качестве разделителей последовательностей выступают специальные символы.

      • По полям — значения полей сравниваются целиком.

      Подсветка отличий происходит следующим образом:

      • Красным цветом подсвечиваются сведения, присутствующие в эталоне, но отсутствующие в сравниваемом событии.

      • Зеленым цветом подсвечиваются сведения, отсутствующие в эталоне, но присутствующие в сравниваемом событии.

      • Сведения, совпадающие и в эталоне, и в сравниваемом событии, не подсвечиваются.

Копирование событий в сравнении

Чтобы скопировать данные всех сравниваемых событий в буфер обмена:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку copy на панели инструментов страницы сравнения событий. Система сохранит данные событий из сравнения в буфер обмена и отобразит соответствующее уведомление.

Удаление события из сравнения

Чтобы удалить событие из сравнения:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку trash в заголовке нужного события. Система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Вы также можете удалить событие из сравнения из его карточки. Для этого:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях или записях.

  2. Нажмите на строку события или записи в списке. Система отобразит в правой части экрана карточку с подробной информацией.

  3. Нажмите на кнопку compare в верхней части карточки события. Кнопка станет неактивной, система удалит выбранное событие из сравнения и отобразит соответствующее уведомление. Событие перестанет отображаться на странице сравнения.

Вы также можете удалить сразу все события из сравнения. Для этого:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на кнопку compare на панели инструментов раздела. Система отобразит страницу сравнения событий.

    Кнопка compare доступна только при наличии событий, добавленных в сравнение.

  3. Нажмите на кнопку trash на панели инструментов страницы сравнения событий. Система отобразит окно подтверждения действия.

  4. Нажмите на кнопку Удалить. Система удалит все события из сравнения и отобразит соответствующее уведомление.

Работа с избранными событиями

При расследовании инцидентов может возникнуть необходимость быстрого доступа к важным событиям. Для этого можно использовать панель избранных событий.

Панель избранных событий доступна только при поиске по хранилищам событий. Если для поиска выбран активный список, панель избранных событий недоступна.

Доступные операции над избранными событиями:

Добавление события в список избранных

Чтобы добавить событие в список избранных:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на строку события в списке. Система отобразит в правой части экрана карточку этого события с подробной информацией о нем.

  3. Выберите опцию Добавить в избранное в выпадающем меню кнопки действий more vertical в верхней части карточки. Система добавит событие в список избранных и отобразит соответствующее уведомление.

Список избранных событий сохраняется индивидуально для текущего пользователя системы в рамках конкретного хранилища.

Просмотр списка избранных событий

Чтобы просмотреть список избранных событий:

  1. Перейдите в раздел Поиск.

  2. Выберите хранилище событий из выпадающего списка в верхней части раздела.

  3. Нажмите на кнопку star unfilled на панели инструментов раздела. Система отобразит панель избранных событий для текущего хранилища.

На панели отображается таблица избранных событий текущего хранилища. Таблица содержит следующие столбцы:

  • Время — временная метка события. Извлекается из поля события timestamp.

  • Информация о событии — краткие сведения о событии: значения первых нескольких заполненных полей в соответствии с порядком их хранения в событии.

Вы можете просмотреть все заполненные поля события с помощью кнопки chevron down и свернуть их с помощью кнопки chevron up в левом столбце строки события.

Вы можете раскрыть содержимое заполненных полей сразу всех избранных событий с помощью кнопки chevron down и свернуть его с помощью кнопки chevron up в заголовке левого столбца таблицы.

В нижней части таблицы отображаются следующие компоненты:

  • Поле Всего записей показывает количество избранных событий.

  • Кнопка Посмотреть в поиске (search) позволяет просмотреть избранные события в таблице на вкладке Данные раздела Поиск.

  • Кнопка Очистить избранное (trash) позволяет удалить все события из списка избранных.

Чтобы просмотреть список избранных событий в таблице раздела Поиск:

  1. Перейдите в раздел Поиск.

  2. Выберите хранилище событий из выпадающего списка в верхней части раздела.

  3. Нажмите на кнопку star unfilled на панели инструментов раздела. Система отобразит панель избранных событий для текущего хранилища.

  4. Нажмите на кнопку Посмотреть в поиске (search) в нижней части панели. Система осуществит поиск по текущему хранилищу и отобразит избранные события в таблице на вкладке Данные раздела Поиск.

Удаление событий из списка избранных

Чтобы удалить событие из списка избранных:

  1. Перейдите в раздел Поиск.

  2. Выберите хранилище событий из выпадающего списка в верхней части раздела.

  3. Нажмите на кнопку star unfilled на панели инструментов раздела. Система отобразит панель избранных событий для текущего хранилища.

  4. Нажмите на кнопку trash в правом столбце строки события, которое вы хотите удалить. Система удалит событие из списка избранных и отобразит соответствующее уведомление.

Вы также можете удалить событие из списка избранных из его карточки. Для этого:

  1. Перейдите на вкладку Данные в разделе Поиск. Система отобразит сведения о найденных событиях.

  2. Нажмите на строку события в списке. Система отобразит в правой части экрана карточку этого события с подробной информацией о нем.

  3. Выберите опцию Удалить из избранного в выпадающем меню кнопки действий more vertical в верхней части карточки. Система удалит событие из списка избранных и отобразит соответствующее уведомление.

Вы также можете удалить сразу все события из списка избранных. Для этого:

  1. Перейдите в раздел Поиск.

  2. Выберите хранилище событий из выпадающего списка в верхней части раздела.

  3. Нажмите на кнопку star unfilled на панели инструментов раздела. Система отобразит панель избранных событий для текущего хранилища.

  4. Нажмите на кнопку Очистить избранное (trash) в нижней части панели.

  5. Нажмите на кнопку Очистить. Система удалит все события из списка избранных и отобразит соответствующее уведомление.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь