Перейти к содержанию

Фильтры потока событий

Общие данные

Фильтры отвечают за фильтрацию потока событий по заданным условиям.

Для работы с фильтрами перейдите в раздел КорреляторФильтры потока событий и выберите фильтр из списка (см. рисунок 1).

Рисунок 1 -- Раздел "Фильтры потока событий"

В боковой панели отображается следующая информация о фильтрах:

  • наименование фильтра;
  • количество событий, попавших под условия фильтра;
  • количество отброшенных событий;
  • дата и время последнего изменения фильтра.

В рабочей области отображается следующая информация о выбранном фильтре:

  • список правил корреляции, в которых используется фильтр потока событий;
  • список условий, заданных для фильтра. Условия могут принимать следующие значения:
    • равно - для условия выполняется функция проверки равенства выражений;
    • равно значению в массиве - для условия выполняется функция проверки наличия значения в массиве данных;
    • имеет подстроку - для условия выполняется функция поиска подстроки в строке;
    • оператор "не" означает что выполняется отрицание при выполнении функции: "не равно", "не равно значению в массиве", "не имеет подстроку".

Создание фильтра потока событий

  1. Нажмите кнопку . Откроется окно "Создание фильтра потока" (см. рисунок 2).

    Рисунок 2 -- Окно "Создание фильтра потока"

  2. В поле Название укажите название фильтра и добавьте условие для сравнения нажав на кнопку + Сравнение. Откроется окно "Настроить условие" (см. рисунок 3).

    Рисунок 3 -- Окно "Настроить условие"

  3. Укажите в окне "Настроить условие" следующую информацию:

    • В поле Функция сравнения из выпадающего списка выберите функцию сравнения:

      • "Проверить равенство выражений";
      • "Проверить наличие в массиве";
      • "Поиск подстроки в строке".

    • Если необходимо выполнить операцию "отрицание", то установите соответствующий флаг;

    • В блоке Первое настройте первую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Значение из события";
      • в поле Ключ из выпадающего списка выберите поле нормализованного события, по которому будет происходить фильтрация.

    • В блоке Второе настройте вторую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Ручной ввод строки";
      • в поле Значение укажите значение, по которому должно проверяться поле, указанное в поле Ключ. Если выбрана функция "Проверить наличие в массиве", то укажите массив значений.

    • В блоке Результат проверьте правильность заданного выражения.

    • Нажмите кнопку Сохранить.

  4. Добавьте необходимое количество условий в фильтр потока событий.

  5. Нажмите кнопку Сохранить.

Редактирование фильтра потока событий

  1. Выберите из списка необходимый фильтр потока событий и нажмите кнопку Редактировать.

  2. Внесите необходимые изменения:

    • для добавления нового условия нажмите кнопку + Сравнение;
    • для изменения условия нажмите по строке выбранного условия;
    • для изменения порядка условий используйте кнопку ;
    • для удаления условия из фильтра используйте кнопку .

  3. Нажмите кнопку Сохранить.

Дублирование фильтра потока событий

  1. Выберите из списка необходимый фильтр и нажмите кнопку Дублировать. Откроется окно "Дублировать фильтр потока событий" (см. рисунок 4).

    Рисунок 4 -- Окно "Дублировать фильтр потока событий"

  2. Укажите в окне наименование фильтра.

  3. Нажмите кнопку Дублировать.

Импорт фильтров потока событий

  1. Нажмите на кнопку и из выпадающего списка выберите пункт Импортировать.
  2. В открывшемся окне укажите путь к архиву с фильтрами.
  3. Нажмите кнопку Открыть.

Экспорт фильтров потока событий

  1. Нажмите на кнопку и из выпадающего списка выберите пункт Экспортировать все.
  2. Будет сформирован архив с фильтрами в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление фильтра потока событий

  1. Выберите из списка необходимый фильтр и в рабочей области нажмите кнопку Удалить.
  2. Подтвердите удаление в открывшемся окне.
  3. Фильтр будет удален из платформы.

Массовые действия над фильтрами потока событий

Над фильтрами доступны следующие массовые действия:

  • Экспортировать - экспорт выбранных фильтров;
  • Удалить - удаление выбранных фильтров;
  • Удалить все - удаление всех фильтров.

Для выполнения массового действия выполните следующие шаги:

  1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора фильтров (см. рисунок 5).

    Рисунок 5 -- Массовые действия над фильтрами

  2. Выберите фильтры.

  3. Нажмите на соответствующую кнопку.
  4. Завершите действие в открывшемся окне.