Перейти к содержанию

Фильтры потока событий

Общие данные

Фильтры отвечают за фильтрацию потока событий по заданным условиям.

Для работы с фильтрами перейдите в раздел КорреляторФильтры потока событий (см. рисунок 1).

Рисунок 1 – Раздел "Фильтры потока событий"

В разделе отображается следующая информация:

  • Название фильтра – наименование фильтра потока событий;
  • Создано – дата и время создания фильтра;
  • Обновлено – дата и время обновления фильтра.

Просмотр фильтра потока событий

Для просмотра фильтра потока событий нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название фильтра. Откроется представление через боковую панель и форма просмотра выбранного фильтра (см. рисунок 2).

Рисунок 2 – Форма просмотра фильтра потока событий

В боковой панели отображается следующая информация о фильтрах:

  • наименование фильтра;
  • количество событий, попавших под условия фильтра;
  • количество отброшенных событий;
  • дата и время последнего изменения фильтра.

В рабочей области отображается следующая информация о выбранном фильтре:

  • список правил корреляции, в которых используется фильтр потока событий;
  • список условий, заданных для фильтра. Условия могут принимать следующие значения:
    • равно - для условия выполняется функция проверки равенства выражений;
    • равно значению в массиве - для условия выполняется функция проверки наличия значения в массиве данных;
    • имеет подстроку - для условия выполняется функция поиска подстроки в строке;
    • оператор "не" означает что выполняется отрицание при выполнении функции: "не равно", "не равно значению в массиве", "не имеет подстроку".

Создание фильтра потока событий

  1. Начните процесс создания фильтра через универсальную таблицу или боковую панель. Откроется окно "Создание фильтра потока" (см. рисунок 3).

    Рисунок 3 – Окно "Создание фильтра потока"

  2. В поле Название укажите название фильтра и добавьте условие для сравнения нажав на кнопку + Сравнение. Откроется окно "Настроить условие" (см. рисунок 4).

    Рисунок 4 – Окно "Настроить условие"

  3. Укажите в окне "Настроить условие" следующую информацию:

    • В поле Функция сравнения из выпадающего списка выберите функцию сравнения:

      • "Проверить равенство выражений";
      • "Проверить наличие в массиве";
      • "Поиск подстроки в строке".

    • Если необходимо выполнить операцию "отрицание", то установите соответствующий флаг;

    • В блоке Первое настройте первую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Значение из события";
      • в поле Ключ из выпадающего списка выберите поле нормализованного события, по которому будет происходить фильтрация.

    • В блоке Второе настройте вторую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Ручной ввод строки";
      • в поле Значение укажите значение, по которому должно проверяться поле, указанное в поле Ключ. Если выбрана функция "Проверить наличие в массиве", то укажите массив значений.

    • В блоке Результат проверьте правильность заданного выражения.

    • Нажмите кнопку Сохранить.

  4. Добавьте необходимое количество условий в фильтр потока событий.

  5. Нажмите кнопку Сохранить.

Редактирование фильтра потока событий

  1. Начните процесс редактирования фильтра через универсальную таблицу или форму просмотра.

  2. Внесите необходимые изменения:

    • для добавления нового условия нажмите кнопку + Сравнение;
    • для изменения условия нажмите по строке выбранного условия;
    • для изменения порядка условий используйте кнопку ;
    • для удаления условия из фильтра используйте кнопку .

  3. Нажмите кнопку Сохранить.

Дублирование фильтра потока событий

  1. Откройте фильтр на просмотр и нажмите кнопку Дублировать. Откроется окно "Дублировать фильтр потока событий" (см. рисунок 5).

    Рисунок 5 – Окно "Дублировать фильтр потока событий"

  2. Укажите в окне наименование фильтра.

  3. Нажмите кнопку Дублировать.

Импорт фильтров потока событий

  1. Начните процесс импорта фильтров через универсальную таблицу или боковую панель.
  2. В открывшемся окне укажите путь к архиву с фильтрами.
  3. Нажмите кнопку Открыть.

Экспорт фильтров потока событий

  1. Начните процесс экспорта фильтров через универсальную таблицу или боковую панель.
  2. Будет сформирован архив с фильтрами в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Удаление фильтра потока событий

  1. Начините процесс удаления фильтра через универсальную таблицу или боковую панель.
  2. Подтвердите удаление в открывшемся окне.
  3. Фильтр будет удален из платформы.