Перейти к содержанию

Поиск и фильтрация событий

Просмотрщик событий позволяет вам быстро искать и фильтровать данные и получать информацию о структуре полей. Вы можете настроить и сохранить результаты поиска и вернуться к ним позже или передать их другому пользователю.

Поиск и фильтрация осуществляется по всем полям в событиях, в том числе и по полям, добавленным пользователями.

Поиск

Сообщите Просмотрщику событий, где найти данные (выберите индекс), которые вы хотите исследовать, а затем укажите временной диапазон, в котором эти данные следует просмотреть.

  1. Откройте главное меню и выберите Инциднты/ Просмотрщик событий.
  2. Выберите данные, с которыми хотите работать.
  3. Просмотрщик событий использует шаблон индекса, чтобы указать ему, где найти данные Elasticsearch.
  4. Настройте временной диапазон.
  5. Выбор диапазона основан на поле времени по умолчанию в ваших данных - @timestamp.
  6. Чтобы просмотреть количество документов за определенный период времени в указанном диапазоне, щелкните и перетащите указатель мыши на гистограмму.

Поле поиска поддерживает стандартный синтаксис строкового поиска ElasticSearch

После набора запроса нажмите Enter на клавиатуре или на кнопку "Поиск" для выполнения запроса.

Представление данных

Просмотрщик событий показывает таблицу, в которой представлены все документы, соответствующие вашему запросу. По умолчанию таблица включает столбцы для поля времени и краткой сводки документа _source, что может быть неудобным для восприятия.

Вы можете изменить эту представление таблицы, чтобы отображались только интересующие вас поля.

  1. Просмотрите список Доступных полей, пока не найдете интересущее поле.

Вы также можете искать поле по имени открым раширенный поиск при клике на иконку рядом с заголовком "Доступные поля".

  1. Щелкните на иконку с плюсом, чтобы переключить поле в таблицу документа.
  2. Чтобы изменить порядок столбцов таблицы, наведите указатель мыши на заголовок столбца и используйте элементы управления перемещением.

Просмотр документа

В табличном предсталении результатов поиска внезависимости от набранного кол-ва колонок или дефолтного представления доступна опция раскрытия строки с докуемнтов для его детального просмотра. Кликните на стрелочку вначале строки для открытия документа.

Внутри карточки документа доступны вкладки просмотра ввиде табличного представления

и ввиде json документа

Платформа отображает информацию о значениях всех полей события, в том числе полей, добавленных пользователем.

Фильтрация

Для создания фильтра можно воспользоваться функционалом создания фильтра расположенного ниже строки поиска, либо добавить к фильтрации значение поля напрямую из карточки представления документа.

Создание фильтра

  1. Нажмите на кнопку "Новый фильтр"

  2. В открывшемся окне выберите поле, вид фильтрации и значение, укажите ниже заголовок фильтра и нажмите кнопку "Добавить"

  3. После добавления фильтра станет доступна опция работы с фильтром

  4. Быстрое включение/выключение фильтра

  5. Закрепление фильтра
  6. Исключение фильтра
  7. Удаление фильтра
  8. Изменение фильтра

Создание быстрого фильтра

  1. В карточке просмотра документа кликните на иконку с лупой и знаком плюс для добавления фильтра с равенством значения выбранного поля значению в просматриваемом документе

  2. Лупа со знаком минус создает фильтр на выбранное поле с не равенством значения выбранного значения просматриваемого документа

  3. После нажатия на иконку будет создан фильтр также как и при ручном создании