Работа с виджетами

Данный раздел описывает процесс работы с виджетами в системе. Работа осуществляется в разделе Дашборды веб-интерфейса системы.

О виджетах

Виджеты — это элементы дашборда, которые позволяют отображать информацию по метрикам системы, оповещениям, событиям и активным спискам в графическом виде. Виджеты позволяют отображать данные с помощью графиков, диаграмм, карт и таблиц.

Тип виджета зависит от выбранного источника данных. Доступны следующие типы виджетов:

  • Виджеты метрик — отображают сведения об основных метриках системы.

  • Виджеты оповещений — отображают сведения об оповещениях в системе.

  • Виджеты событий — отображают сведения о событиях в системе на основе RQL-запроса. События загружаются из выбранного хранилища событий.

  • Виджеты активных списков — отображают сведения об активных списках на основе RQL-запроса. Данные загружаются из выбранного активного списка.

Доступные операции над виджетами:

Добавление виджета

Способ создания виджета зависит от его источника данных:

Для виджетов событий и виджетов активных списков доступен выбор типа диаграммы. Особенности каждого типа приведены в разделе Типы диаграмм.

При задании RQL-запроса в виджетах событий и виджетах активных списков доступно использование переменных. Подробности приведены в разделе Работа с переменными в виджетах.

Добавление виджета метрик

Чтобы добавить виджет метрик:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку Добавить виджет (plus) в верхней части раздела. Отобразится окно создания виджета.

  4. Введите название виджета.

  5. При необходимости введите описание виджета.

  6. Выберите Метрики из выпадающего списка Источник данных.

  7. Выберите метрику для виджета из выпадающего списка:

    • Хост БД CPU — график использования ресурсов процессора (CPU) контейнерами БД.

    • Хост БД RAM — график использования ресурсов оперативной памяти (RAM) контейнерами БД.

    • Хост Коллектор CPU — график использования ресурсов процессора (CPU) контейнерами коллектора.

    • Хост Коллектор RAM — график использования ресурсов оперативной памяти (RAM) контейнерами коллектора.

    • Пайплайн EPS — график событий в секунду (EPS).

    • Пайплайн объем трафика — график объема трафика, поступающего в систему через конвейер.

    • Пайплайн ErrPS — график ошибок в секунду (ErrPS).

  8. Выберите из выпадающего списка способ задания периода и установите период:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

  9. Для регулярного обновления данных на виджете установите переключатель Включить автообновление в активное положение и укажите периодичность обновления:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

    Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

  10. Чтобы предварительно просмотреть, как будут отображаться данные на виджете в соответствии с заданными настройками, нажмите на кнопку refresh в правой верхней части окна создания виджета.

  11. Нажмите на кнопку Добавить виджет. Система создаст виджет и отобразит соответствующее уведомление. Новый виджет появится на дашборде.

Добавление виджета оповещений

Чтобы добавить виджет оповещений:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку Добавить виджет (plus) в верхней части раздела. Отобразится окно создания виджета.

  4. Введите название виджета.

  5. При необходимости введите описание виджета.

  6. Выберите Оповещения из выпадающего списка Источник данных.

  7. Выберите данные оповещений для виджета из выпадающего списка:

    • Активные — круговая диаграмма, отображающая данные по количеству оповещений со статусами Новое и В работе.

    • Новые — круговая диаграмма, отображающая данные по количеству оповещений со статусом Новое для каждого уровня угрозы.

    • Последние — таблица, отображающая сведения о последних оповещениях.

      Необходимо указать количество оповещений и выбрать способ их сортировки: по дате создания или по дате изменения.

      Таблица содержит следующие столбцы:

      • Создано/Изменено — дата и время создания или последнего изменения оповещения, в зависимости от выбранного способа сортировки.

      • Название — название оповещения.

      • Уровень угрозы — уровень угрозы оповещения: критический, высокий, средний или низкий.

      • Статус — текущий статус оповещения: Ложное срабатывание, В работе, Новое или Закрыто.

      • Количество событий — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Распределение по времени — график, отображающий количество оповещений за указанный период времени.

      Выберите из выпадающего списка способ задания периода и установите период:

      • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

      • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

      При необходимости можно сгруппировать оповещения по статусам, уровню угрозы или правилам сегментации.

    • Распределение по атрибуту — круговая диаграмма, отображающая данные по количеству оповещений для каждого значения выбранного атрибута.

      Необходимо выбрать атрибут для группировки оповещений: статус, уровень угрозы или правило сегментации.

    • Итоги — итоги, отображающие количество оповещений с заданными настройками.

      Необходимо выбрать атрибут оповещения и указать значение атрибута. Доступны следующие атрибуты и их значения:

      • Статус: новое, в работе, закрыто, ложное срабатывание.

      • Уровень угрозы: критический, высокий, средний, низкий.

      • Правило сегментации: идентификатор правила сегментации.

  8. Для регулярного обновления данных на виджете установите переключатель Включить автообновление в активное положение и укажите периодичность обновления:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

    Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

  9. Чтобы предварительно просмотреть, как будут отображаться данные на виджете в соответствии с заданными настройками, нажмите на кнопку refresh в правой верхней части окна создания виджета.

  10. Нажмите на кнопку Добавить виджет. Система создаст виджет и отобразит соответствующее уведомление. Новый виджет появится на дашборде.

Добавление виджета событий

Чтобы добавить виджет событий:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку Добавить виджет (plus) в верхней части раздела. Отобразится окно создания виджета.

  4. Введите название виджета.

  5. При необходимости введите описание виджета.

  6. Выберите События из выпадающего списка Источник данных.

  7. Выберите хранилище событий, из которого требуется брать информацию о событиях, из выпадающего списка.

  8. Выберите тип визуализации для виджета из выпадающего списка. Доступные типы:

    • Столбчатая диаграмма — отображает данные в виде столбцов. На один столбец приходится одно значение атрибута из RQL-запроса.

    • График — отображает данные в виде кривой на графике с осями X и Y.

    • Круговая диаграмма — отображает данные в виде секторов на круговой диаграмме.

    • Столбчатая диаграмма с накоплением — отображает данные в виде сгруппированных столбцов. Столбцы в каждой группе расположены друг поверх друга, формируя единый столбец в рамках группы.

    • Таблица — отображает данные в табличном виде.

    • Итоги — отображает одно выбранное значение на виджете.

    • Карта с группировкой — отображает данные на карте мира с группировкой по координатам.

    • Карта стран мира — отображает данные на карте мира с группировкой по странам.

  9. Задайте лимит строк для виджетов вручную или с помощью кнопок minus и plus. Лимит строк определяет максимальное количество строк, которые будут использованы для построения виджета. Допустимый диапазон лимита строк: 1 — 100 000.

    Рекомендуется задавать адекватные лимиты или использовать лимиты по умолчанию, чтобы не перегрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

    По умолчанию для таблиц и круговых диаграмм установлен лимит в 100 строк, для остальных типов визуализации — 1000 строк.

    Лимит строк также можно задать в RQL-запросе с помощью оператора LIMIT. В этом случае лимит определяется минимальным из значений поля Лимит строк и оператора LIMIT. Например:

    • Если в поле Лимит строк задано значение 100, а в запросе указано LIMIT 20, то будет установлен лимит в 20 строк.

    • Если в поле Лимит строк задано значение 20, а в запросе указано LIMIT 100, то также будет установлен лимит в 20 строк.

    Если задан лимит более 6 строк, то на диаграммах типов График, Столбчатая диаграмма и Столбчатая диаграмма с накоплением будет отображаться только часть подписей, с равномерными пропусками, чтобы избежать наложения.

  10. Введите запрос на языке RQL в поле запроса.

    При необходимости вы можете вставить RQL-запрос из поискового шаблона. Для этого выберите нужный шаблон из выпадающего списка Шаблон запроса (chevron down). Для быстрого поиска шаблона в выпадающем списке начните вводить его название в строке поиска.

    При составлении RQL-запроса необходимо учитывать особенности каждого типа диаграммы. Подробности приведены в разделе Типы диаграмм.

    При необходимости в секции Переменные вы можете задать переменные, которые можно использовать в RQL-запросе. Подробности приведены в разделе Работа с переменными в виджетах.

  11. Заполните поля настроек диаграммы.

    Для каждого типа диаграммы доступен свой набор полей. Подробности приведены в разделе Типы диаграмм.

  12. Выберите из выпадающего списка способ задания периода и установите период:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

  13. Для регулярного обновления данных на виджете установите переключатель Включить автообновление в активное положение и укажите периодичность обновления:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

    Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

  14. Чтобы предварительно просмотреть, как будут отображаться данные на виджете в соответствии с заданными настройками, нажмите на кнопку refresh в правой верхней части окна создания виджета. Доступны следующие варианты предпросмотра:

    • Диаграмма — отображает визуальное представление виджета на дашборде.

    • Данные — отображает результаты RQL-запроса в табличной форме.

  15. Нажмите на кнопку Добавить виджет. Система создаст виджет и отобразит соответствующее уведомление. Новый виджет появится на дашборде.

Вы также можете создать виджет событий в разделе Поиск:

Добавление виджета активного списка

Чтобы добавить виджет активного списка:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку Добавить виджет (plus) в верхней части раздела. Отобразится окно создания виджета.

  4. Введите название виджета.

  5. При необходимости введите описание виджета.

  6. Выберите Активный список из выпадающего списка Источник данных.

  7. Выберите активный список, из которого требуется брать информацию о записях.

  8. Выберите тип визуализации для виджета из выпадающего списка. Доступные типы:

    • Столбчатая диаграмма — отображает данные в виде столбцов. На один столбец приходится одно значение атрибута из RQL-запроса.

    • График — отображает данные в виде кривой на графике с осями X и Y.

    • Круговая диаграмма — отображает данные в виде секторов на круговой диаграмме.

    • Столбчатая диаграмма с накоплением — отображает данные в виде сгруппированных столбцов. Столбцы в каждой группе расположены друг поверх друга, формируя единый столбец в рамках группы.

    • Таблица — отображает данные в табличном виде.

    • Итоги — отображает одно выбранное значение на виджете.

    • Карта с группировкой — отображает данные на карте мира с группировкой по координатам.

    • Карта стран мира — отображает данные на карте мира с группировкой по странам.

  9. Задайте лимит строк для виджетов вручную или с помощью кнопок minus и plus. Лимит строк определяет максимальное количество строк, которые будут использованы для построения виджета. Допустимый диапазон лимита строк: 1 — 100 000.

    Рекомендуется задавать адекватные лимиты или использовать лимиты по умолчанию, чтобы не перегрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

    По умолчанию для таблиц и круговых диаграмм установлен лимит в 100 строк, для остальных типов визуализации — 1000 строк.

    Лимит строк также можно задать в RQL-запросе с помощью оператора LIMIT. В этом случае лимит определяется минимальным из значений поля Лимит строк и оператора LIMIT. Например:

    • Если в поле Лимит строк задано значение 100, а в запросе указано LIMIT 20, то будет установлен лимит в 20 строк.

    • Если в поле Лимит строк задано значение 20, а в запросе указано LIMIT 100, то также будет установлен лимит в 20 строк.

    Если задан лимит более 6 строк, то на диаграммах типов График, Столбчатая диаграмма и Столбчатая диаграмма с накоплением будет отображаться только часть подписей, с равномерными пропусками, чтобы избежать наложения.

  10. Выберите из выпадающего списка способ задания периода и установите период:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

  11. Введите запрос на языке RQL в поле запроса.

    При необходимости вы можете вставить RQL-запрос из поискового шаблона. Для этого выберите нужный шаблон из выпадающего списка Шаблон запроса (chevron down). Для быстрого поиска шаблона в выпадающем списке начните вводить его название в строке поиска.

    При составлении RQL-запроса необходимо учитывать особенности каждого типа диаграммы. Подробности приведены в разделе Типы диаграмм.

    При необходимости в секции Переменные вы можете задать переменные, которые можно использовать в RQL-запросе. Подробности приведены в разделе Работа с переменными в виджетах.

  12. Заполните поля настроек диаграммы.

    Для каждого типа диаграммы доступен свой набор полей. Подробности приведены в разделе Типы диаграмм.

  13. Выберите из выпадающего списка способ задания периода и установите период:

    • Последний период — задайте значение вручную или с помощью кнопок minus и plus, и выберите единицы времени из выпадающего списка. Поиск данных будет выполняться в указанном диапазоне вплоть до нынешнего момента.

    • Задать период — укажите даты начала и конца периода, за который будет выполняться поиск данных.

  14. Для регулярного обновления данных на виджете установите переключатель Включить автообновление в активное положение и укажите периодичность обновления:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

    Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

  15. Чтобы предварительно просмотреть, как будут отображаться данные на виджете в соответствии с заданными настройками, нажмите на кнопку refresh в правой верхней части окна создания виджета. Доступны следующие варианты предпросмотра:

    • Диаграмма — отображает визуальное представление виджета на дашборде.

    • Данные — отображает результаты RQL-запроса в табличной форме.

  16. Нажмите на кнопку Добавить виджет. Система создаст виджет и отобразит соответствующее уведомление. Новый виджет появится на дашборде.

Вы также можете создать виджет активного списка, открыв панель статистики по полю в разделе Поиск.

Типы диаграмм

Выбор типа диаграммы доступен только для источников данных События и Активные списки. Для каждого типа диаграммы доступен свой набор полей в секции Сопоставление полей, которые необходимо заполнить атрибутами из RQL-запроса.

Доступны следующие типы диаграмм:

Столбчатые диаграммы

Система позволяет создавать столбчатые диаграммы следующих типов:

  • Столбчатая диаграмма — позволяет отображать значения показателей в виде вертикальных столбцов. Высота столбцов пропорциональна значениям.

  • Столбчатая диаграмма с накоплением — позволяет сравнивать сгруппированные показатели с другими группами тех же показателей, например, распределение количества событий по IP-адресу источника с их группировкой по типу. Столбцы значений в каждой группе расположены друг поверх друга, формируя единый столбец в рамках группы.

Для столбчатых диаграмм доступны следующие поля настроек:

  • Легенда — позволяет указать атрибут, по значению которого формируются столбцы виджета.

  • Значение — позволяет указать атрибут, по значению которого определяется шкала виджета и высота столбцов.

  • Группировка — позволяет указать атрибут, по которому производится группировка данных в легенде виджета.

При заполнении поля Группировка в легенде виджета отображаются только первые 20 групп.
Поле Группировка не влияет на группировку данных на диаграмме.
Через легенду виджета можно включать и выключать отображение данных на диаграмме нажатием на цветовое обозначение соответствующего ряда данных.

Примеры виджета:

  • Для событий

  • Для активных списков

Необходимо построить диаграмму, показывающую распределение количества событий по IP-адресу источника с их группировкой по типу.

Запрос:

SELECT sourceIp, type, count(id) as cnt GROUP BY type

Здесь:

  • в поле Легенда указывается sourceIp — атрибут, возвращающий IP-адрес источника;

  • в поле Значение указывается cnt — псевдоним атрибута, возвращающего количество событий;

  • в поле Группировка указывается type — атрибут, возвращающий тип события.

Необходимо построить диаграмму, показывающую распределение количества IP-адресов DDOS-атак по IP-адресам с их группировкой по типам.

Запрос:

SELECT ip, attack_type, (count(id) AS cnt GROUP BY Ip, attack_type

Здесь:

  • в поле Легенда указывается ip — атрибут, возвращающий IP-адреса, замеченные в атаке;

  • в поле Значение указывается cnt — псевдоним атрибута, возвращающего количество записей;

  • в поле Группировка указывается attack_type — атрибут, возвращающий тип атаки.

Карта стран мира

Виджет Карта стран мира отображает количество событий или данных из активных списков на карте мира с группировкой по странам.

Для карты стран мира доступны следующие поля настроек:

  • Страна — позволяет указать атрибут, возвращающий название страны.

    По атрибуту в поле Страна необходимо группировать данные в RQL-запросе.

  • Количество — позволяет указать атрибут или псевдоним атрибута, который передает количество данных.

Для карты стран мира нужно группировать данные в RQL-запросе только по полю, значение которого идентифицирует страну. При группировке по другим полям виджет может работать некорректно.

Примеры виджета:

  • Для событий

  • Для активных списков

Необходимо отобразить количество событий с группировкой по странам.

Запрос:

SELECT country, count(*) as cnt GROUP BY country

Здесь:

  • в поле Страна указывается country — атрибут, возвращающий название страны;

  • в поле Количество указывается cnt — псевдоним атрибута, возвращающего количество событий.

Необходимо отобразить количество DDOS-атак с группировкой по странам мира.

Запрос:

SELECT country, count(*) as cnt WHERE attack_type IN 'DDOS' GROUP BY country

Здесь:

  • в поле Страна указывается country — атрибут, возвращающий название страны.

  • в поле Количество указывается cnt — псевдоним атрибута, возвращающего количество атак.

Карта с группировкой

Виджет Карта с группировкой позволяет отображать данные с группировкой по координатам. Группировка на виджете происходит методом кластеризации — когда координаты группируются по сходству их местоположения. При приближении карты координаты разбиваются на точки, которые соответствуют местоположению их координат. При отдалении — точки, находящиеся рядом, собираются в кластер (единую точку).

Для карты с группировкой также доступна дополнительная секция настроек Координаты.

Секция Координаты содержит следующие поля:

  • Широта — позволяет указать атрибут, возвращающий широту.

  • Долгота — позволяет указать атрибут, возвращающий долготу.

При составлении RQL-запроса для виджета Карта с группировкой не нужно использовать оператор GROUP BY. Группировка происходит автоматически по указанным атрибутам координат.

Секция Сопоставления полей содержит поля настройки таблицы в окне детализации данных по координатам:

  • Название колонки — позволяет задать название столбца в таблице.

  • Атрибут из запроса — позволяет указать атрибут, значение которого будет выводиться в столбце.

Для добавления нового столбца в таблицу используйте кнопку Добавить колонку (plus). Для удаления столбца из таблицы используйте кнопку trash.

Окно детализации данных открывается при нажатии на точку координат.

Примеры виджета:

  • Для событий

  • Для активных списков

Необходимо отобразить все события с группировкой по координатам, у которых есть связанный инцидент. Таблица должна содержать координаты событий и информацию по инцидентам: ID, название и время.

Запрос:

SELECT latitude, longitude, incidentId, incidentName, incidentTimestamp WHERE incidentId is not null
Название колонки Атрибут из запроса

Широта

latitude

Долгота

longitude

ID инцидента

incidentId

Название инцидента

incidentName

Время инцидента

incidentTimestamp — атрибут, возвращающий время, когда произошел инцидент

Необходимо отобразить местоположение IP-адресов, которые были замечены в DDOS-атаке. Таблица должна содержать IP-адреса источников атаки, координаты, название стран и количество запросов с IP-адреса.

Запрос:

SELECT ip, involved_attacks, country, latitude, longitude WHERE attack_type IN 'DDOS'
Название колонки Атрибут из запроса

IP

ip — атрибут, возвращающий IP-адрес источника атаки

Количество запросов

involved_attacks

Широта

latitude

Долгота

longitude

Страна

country

Круговая диаграмма

Виджет Круговая диаграмма позволяет отобразить данные в виде секторов на круговой диаграмме.

Для круговых диаграмм доступны следующие поля настроек:

  • Легенда — позволяет указать атрибут, который описывает соответствующий сектор на круговой диаграмме.

  • Значение — позволяет указать атрибут, по значениям которого формируются сектора на круговой диаграмме.

Примеры виджета:

  • Для событий

  • Для активных списков

Необходимо построить диаграмму, показывающую распределение количества событий по ID коллекторов.

Запрос:

SELECT count(*) as cnt, collectorId GROUP BY collectorId

Здесь:

  • в поле Легенда указывается collectorId — атрибут, возвращающий ID коллектора;

  • в поле Значение указывается cnt — псевдоним атрибута, возвращающего количество событий.

Необходимо построить диаграмму, показывающую распределение количества атак по типам.

Запрос:

SELECT attack_type, sum(involved_attacks) AS total_attacks GROUP BY attack_type

Здесь:

  • в поле Легенда указывается attack_type — атрибут, возвращающий тип атаки;

  • в поле Значение указывается total_attacks — псевдоним атрибута, возвращающего суммарное количество атак.

График

Виджет График позволяет отобразить данные в виде кривой на графике с осями X и Y.

Для графиков доступны следующие поля настроек:

  • Ось Х — позволяет задать атрибут, значения которого будут отображаться на оси X и по значениям которого будет высчитываться положение графика по оси X.

  • Ось Y — позволяет задать атрибут, значения которого будут отображаться на оси Y и по значениям которого будет высчитываться положение графика по оси Y.

  • Группировка — позволяет указать атрибут, по которому производится дополнительная группировка. Одна кривая графика делится на несколько кривых, которые сгруппированы по атрибуту, указанному в поле.

Параметр Группировка указывается опционально и влияет на отображение легенды виджета.
При заполнении поля Группировка в легенде виджета отображаются только первые 20 групп.

Примеры виджета:

  • Для событий

  • Для активных списков

Необходимо построить график, показывающий зависимость количества событий от ID коллекторов.

Запрос:

SELECT collectorId, count(*) AS cnt WHERE collectorId like '%' GROUP BY collectorId

Здесь:

  • в поле Ось Х указывается collectorId — атрибут, возвращающий ID коллектора;

  • в поле Ось Y указывается cnt — псевдоним атрибута, возвращающего количество событий;

Необходимо построить график, показывающий зависимость количества атак с каждого IP-адреса в зависимости от оценки его репутации.

Запрос:

SELECT ip, reputation_score, sum(involved_attacks) AS total_attacks GROUP BY ip, reputation_score

Здесь:

  • в поле Ось Х указывается reputation_score — атрибут, возвращающий оценку рейтинга;

  • в поле Ось Y указывается total_attacks — псевдоним атрибута, возвращающего суммарное количество атак.

Таблица

Виджет Таблица позволяет отображать данные в табличном виде.

Для таблиц доступны следующие поля настроек столбцов таблицы:

  • Название колонки — позволяет задать название столбца табличной части.

  • Атрибут из запроса — позволяет задать атрибут, значение которого будет выводиться в столбце.

Для добавления нового столбца в таблицу используйте кнопку Добавить колонку (plus). Для удаления столбца из таблицы используйте кнопку trash.

Примеры составления виджета:

  • Для событий

  • Для активных списков

Необходимо создать таблицу с двумя столбцами, позволяющую просмотреть соотношение количества событий для 10 последних коллекторов.

Запрос:

SELECT collectorId, count(*) AS cnt WHERE collectorId like '%' GROUP BY collectorId
Название колонки Атрибут из запроса

Коллектор

collectorId — атрибут, возвращающий ID коллектора

Количество событий

cnt — псевдоним атрибута, возвращающего количество событий

В поле Лимит строк указывается значение 10, что позволяет вывести в таблицу не более 10 записей.

Лимит строк также можно указать в запросе с помощью оператора LIMIT:

SELECT collectorId, count(*) AS cnt WHERE collectorId like '%' GROUP BY collectorId LIMIT 10

В этом случае лимит строк в таблице определяется минимальным из значений поля Лимит строк и оператора LIMIT.

Необходимо создать таблицу с информацией об IP-адресах из определенной подсети, замеченных в DDOS-атаках. Таблица должна быть отсортирована по времени последнего обнаружения от позднего к раннему.

Запрос:

SELECT ip, attack_type, involved_attacks, last_detected WHERE ip IN '192.0.2.0/24' ORDER BY last_detected DESC
Название колонки Атрибут из запроса

IP

ip — атрибут, возвращающий IP источника атаки

Тип атаки

attack_type

Количество атак

involved_attacks

Время

last_detected — атрибут, возвращающий метку времени последнего обнаружения

Итоги

Виджет Итоги позволяет отобразить данные в виде единого значения.

Для итогов доступно поле Значение, позволяющее указать атрибут, значение которого будет отображаться на виджете.

Примеры виджета:

  • Для событий

  • Для активных списков

Необходимо вывести количество событий за указанный в окне редактирования виджета период времени.

Запрос:

SELECT count(id) AS cnt

Здесь:

  • в поле Значение указывается cnt — псевдоним атрибута, возвращающего количество событий.

Необходимо вывести количество уникальных IP, замеченных в DDOS-атаках.

Запрос:

SELECT uniq(ip) AS uniq

Здесь:

  • в поле Значение указывается uniq — псевдоним атрибута, возвращающего количество уникальных IP-адресов.

Работа с переменными в виджетах

Для виджетов событий и активных списков в секции Переменные окна редактирования виджета вы можете задать переменные, которые можно использовать в RQL-запросе.

Доступные операции над переменными в виджетах:

Создание переменной

Чтобы добавить переменную:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Откройте окно редактирования виджета одним из способов:

    1. Выберите опцию Изменить в выпадающем меню кнопки действий more vertical виджета.

    2. Нажмите на кнопку Добавить виджет (plus) в верхней части раздела Дашборды.

  4. Нажмите на кнопку Добавить в секции Переменные. Появится строка настройки переменной.

  5. Введите аргумент переменной. Аргумент может содержать только латинские буквы (A—​Z, a—​z) и цифры (0—​9).

  6. Выберите тип значения переменной. Доступные типы:

    • Строка;

    • Число;

    • Дата;

    • Логическое.

  7. Укажите значение переменной. Способ задания значения зависит от его типа:

    • Строка и Число — введите значение вручную.

    • Дата — введите значение вручную или задайте с помощью панели выбора даты и времени.

    • Логическое — выберите значение из выпадающего списка: True или False.

Чтобы удалить переменную, нажмите на кнопку trash в строке ее настроек.

Использование переменной в RQL-запросе

Чтобы использовать указанную переменную в RQL-запросе, необходимо использовать шаблон Handlebars:

  • Шаблоны для обращения к переменной типа Строка, Число или Логическое:

    • {{<variable_argument>}} — обращение к переменной с экранированием специальных символов в ее значении;

    • {{{<variable_argument>}}} — обращение к переменной без экранирования специальных символов в ее значении.

  • Шаблоны для обращения к переменной типа Дата:

    • {{sqlDateTime <variable_argument>}} — обращение к значению типа DateTime64;

    • {{sqlDateTime <variable_argument> false}} — обращение к значению типа DateTime.

Здесь:

  • <variable_argument> — аргумент переменной.

Если аргумент переменной содержит специальные символы или 0, то при обращении к переменной необходимо экранировать ее аргумент одинарными кавычками, например: {{'<variable_argument>'}}.

Пример использования переменных в RQL-запросе

Предположим, что нам необходимо получить события, отфильтрованные по значениям evo.streams и evo.core поля moduleKey.

Чтобы передавать конкретные значения в RQL-запрос, можно создать две переменные:

  • Первая переменная:

    • Аргумент: moduleKey1.

    • Тип значения: Строка.

    • Значение: evo.streams.

  • Вторая переменная:

    • Аргумент: moduleKey2.

    • Тип значения: Строка.

    • Значение: evo.core.

Тогда для решения поставленной задачи можно использовать следующий запрос:

SELECT id, moduleKey, tenantId WHERE moduleKey IN ("{{moduleKey1}}","{{moduleKey2}}") ORDER BY tenantId

Обновление виджета

Чтобы отобразить актуальные данные на виджете, требуется его обновить. Вы можете принудительно обновить виджет вручную или настроить автоматическое обновление.

Обновление виджета вручную

Чтобы обновить данные виджета вручную:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку refresh в правом верхнем углу выбранного виджета. Данные на виджете будут обновлены.

Автоматическое обновление виджета

Не рекомендуется включать автоматическое обновление данных для каждого виджета дашборда, так как это может излишне нагрузить систему. Подробности приведены в разделе Рекомендации по работе с дашбордами.

Чтобы настроить регулярное автоматическое обновление виджета:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку действий more vertical в верхнем правом углу виджета и выберите опцию Изменить. Отобразится окно редактирования виджета.

  4. Включите переключатель Включить автообновление и укажите периодичность регулярных обновлений:

    1. Задайте частоту обновления вручную или с помощью кнопок minus и plus.

    2. Выберите из выпадающего списка единицы времени периода.

  5. Нажмите на кнопку Изменить виджет. Система сохранит измененные данные виджета. Данные на виджете будут автоматически обновляться по истечении указанного периода времени.

Изменение размеров виджета

Чтобы изменить размеры (высоту и ширину) виджета:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Наведите курсор на правый нижний угол выбранного виджета. Курсор примет вид двунаправленной стрелки.

  4. Потяните за правый нижний угол виджета:

    • вправо/влево — для изменения ширины;

    • вверх/вниз — для изменения высоты.

      Размеры виджета будут изменены.

Перемещение виджета

Чтобы переместить виджет на дашборде:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Наведите курсор на область названия выбранного виджета. Курсор примет вид четырехнаправленной стрелки.

  4. Перетащите виджет в нужное положение на дашборде. Виджет будет перемещен.

Изменение настроек виджета

Чтобы изменить настройки виджета:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку действий more vertical в верхнем правом углу виджета и выберите опцию Изменить. Отобразится окно редактирования виджета.

  4. Внесите изменения в требуемые поля.

  5. Нажмите на кнопку Изменить виджет. Система сохранит изменения и отобразит соответствующее уведомление. Обновленная информация отобразится на дашборде.

Настройка отображения легенды виджета

По умолчанию при добавлении виджета в правой его части отображается легенда, на которой приведены цветовые обозначения и названия рядов данных на виджете.

Легенда не отображается:

Чтобы скрыть легенду, нажмите на кнопку действий more vertical в верхнем правом углу виджета и выберите опцию Скрыть легенду. Легенда перестанет отображаться на виджете, а диаграмма визуализации данных займет всю ширину виджета.

Чтобы отобразить скрытую легенду, нажмите на кнопку действий more vertical в верхнем правом углу виджета и выберите опцию Показать легенду. В правой части виджета отобразится его легенда, а диаграмма визуализации отмасштабируется по оставшемуся на виджете пространству.

Настройка отображения рядов данных виджета

По умолчанию при добавлении виджета отображаются все его ряды данных.

Чтобы скрыть ряд данных на виджете, нажмите на его цветовое обозначение в легенде. Ряд перестанет отображаться на диаграмме визуализации данных, а его цветовое обозначение в легенде станет серым.

Чтобы отобразить скрытый ряд данных на виджете, нажмите на его цветовое обозначение в легенде. Ряд отобразится на диаграмме визуализации данных, а его обозначение в легенде вернет свой изначальный цвет.

Просмотр деталей ряда данных виджета

Просмотр деталей ряда данных доступен для:

Просмотр ряда данных в виджетах оповещений

Просмотр ряда данных доступен для виджетов оповещений следующих типов:

  • Активные;

  • Новые;

  • Последние;

  • Распределение по времени;

  • Распределение по атрибуту.

Чтобы просмотреть детали ряда данных:

  • Для виджета типа Активные, Новые, Распределение по времени или Распределение по атрибуту: нажмите на название соответствующего ряда в легенде.

  • Для виджета типа Последние: нажмите на соответствующую строку в таблице.

Система откроет страницу раздела Оповещения, на которой отобразится список оповещений, отфильтрованный в соответствии с выбранным рядом данных.

Просмотр ряда данных в виджетах событий и активных списков

Просмотр ряда данных доступен для виджетов событий и виджетов активных списков следующих типов:

При этом на виджетах должна быть задана группировка только по одному атрибуту (например: GROUP BY collectorId).

Чтобы просмотреть детали ряда данных, нажмите на название соответствующего ряда в легенде. Система откроет страницу раздела Поиск, на которой отобразится список записей хранилища событий или активного списка, отфильтрованный по атрибуту из поля Группировка в настройках виджета.

Переход к разделу Поиск из легенды недоступен для полей с типом данных JSON.

Создание копии виджета

Чтобы создать копию виджета:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку действий more vertical в верхнем правом углу виджета и выберите опцию Создать копию. Система создаст копию виджета и отобразит соответствующее уведомление. Новый виджет появится на дашборде в конце списка.

Удаление виджета

Чтобы удалить виджет:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку действий more vertical в верхнем правом углу виджета и выберите опцию Удалить. Система отобразит окно подтверждения удаления виджета.

  4. Нажмите на кнопку Удалить. Система удалит виджет и отобразит соответствующее уведомление. Удаленный виджет исчезнет с дашборда.

Экспорт виджета

Чтобы экспортировать виджет:

  1. Перейдите в раздел Дашборды

  2. Выберите нужный дашборд с помощью кнопки chevron down в верхней части раздела.

  3. Нажмите на кнопку export в правом верхнем углу выбранного виджета. Отобразится окно экспорта виджета.

  4. Нажмите на кнопку Экспортировать. Система загрузит данные виджета на устройство пользователя в формате CSV и отобразит соответствующее уведомление.

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь