Агрегация событий

Настройка агрегации событий

В Платформе Радар предусмотрена возможность агрегации событий. Настроить агрегацию можно либо при создании нового источника событий, либо при редактировании параметров ранее заведенного в Платформе Радар источника.

Для настройки агрегации необходимо выполнить следующие действия (на примере редактирования):

1. В веб-интерфейсе Платформы Радар зайти в подраздел "Источники" -> "Управление источниками" -> вкладка "Источники".
2. В текущем списке источников событий выбрать интересующий и нажать кнопку редактирования для данного источника .
3. В форме редактирования источника в области параметров Правила для termite для параметра "Агрегация" выбрать в раскрывающемся списке одно или последовательно несколько полей, которые не должны меняться, и по которым будет происходить агрегация событий на данном источнике (см. рисунок 1). Расшифровка полей для агрегации дана в разделе «Описание полей нормализации».
4. Для сохранения введенных изменений нажать кнопку Сохранить.
5. Синхронизировать источники, нажав кнопку Синхронизировать на вкладке "Источники".

Рисунок 1 -- Настройка агрегации событий

Просмотр результатов агрегации событий

Для просмотра результатов агрегации событий необходимо выполнить следующие действия:

1. В веб-интерфейсе Платформы Радар зайти в раздел "Просмотр событий".
2. Задать временной интервал в поле Время.
3. Ввести или выбрать в раскрывающемся списке нужный индекс в поле Индекс.
4. Обновить данные на экране согласно заданным параметрам нажав .
5. В левой части экрана в области "Доступные поля" найти поле grouped_occur_count и нажать .

Поле grouped_occur_count добавится в область "Выбранные поля". Колонка поля grouped_occur_count добавится в табличный список событий (см. рисунок 2). В данной колонке отображается количество агрегированных событий.

Рисунок 2 -- Отображение агрегированных событий в табличном списке событий в разделе "Просмотр событий"