Перейти к содержанию

Шаблоны группировки

Общие данные

При настройке правила корреляции вы можете использовать заранее подготовленные шаблоны группировки событий.

Группировка выполняется по выбранному полю нормализованного события.

Платформа поддерживает возможность отслеживания и группировки подозрительных событий, следующих одно за другим (цепочки событий).

Для работы с шаблонами группировки перейдите в раздел КорреляторШаблоны группировки и выберите шаблон из списка (см. рисунок 1).

Рисунок 1 – Раздел "Шаблоны группировки"

Создание шаблона группировки

  1. Нажмите кнопку Добавить правило. Откроется окно "Создание шаблона" (см. рисунок 2).

    Рисунок 2 – Окно "Создание шаблона"

  2. Укажите в окне следующую информацию:

    • в поле Название шаблона укажите название шаблона группировки;
    • в поле Группировать по из выпадающего списка выберите поле нормализованного события, по которому будет выполняться группировка. Можно выполнять группировку по нескольким полям;
    • в поле Агрегировать по из выпадающего списка выберите поле нормализованного события, по которому будет выполняться функция агрегации. Можно выполнить агрегацию по нескольким полям;
    • в поле Размер окна группировки укажите временной интервал, в течение которого будет выполняться группировка событий;
    • в поле Порог количества событий для срабатывания укажите количество событий, по достижению которого в окне группировки, будет срабатывать правило;
    • для агрегации только уникальных значений установите соответствующий флаг;
    • в поле Время события из выпадающего списка выберите поле нормализованного события, по которому будет вычисляться время события;
    • в поле Формат времени из выпадающего списка выберите формат времени события.

  3. При необходимости настройте цепочку событий. Для этого установите соответствующий переключатель в положение "Включен" и добавьте условия для цепочки событий нажав на кнопку + Сравнение. Откроется окно "Настроить условие" (см. рисунок 3).

    Рисунок 3 – Окно "Настроить условие"

  4. Укажите в окне "Настроить условие" следующую информацию:

    • В поле Функция сравнения из выпадающего списка выберите функцию Проверить наличие в массиве;

    • В блоке Строка настройте первую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Значение из события";
      • в поле Ключ из выпадающего списка выберите поле нормализованного события, по которому будет выявляться цепочка событий.

    • В блоке Массив настройте вторую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Массив строк";
      • в поле Значение укажите массив значений, по которым должно проверяться поле, указанное в поле Ключ.

    • В блоке Результат проверьте правильность заданного выражения;

    • Нажмите кнопку Сохранить.

  5. Добавьте необходимое количество условий цепочки событий.

  6. Настройте дополнительные параметры поведения для добавленных условий цепочки событий (см. рисунок 4):

    Рисунок 4 – Параметры условий цепочки событий

    • в поле Количество событий укажите минимальное количество найденных событий, подходящих под условие для "сработки" правила;
    • для включения проверки строго соответствия количества событий установите флаг Точное совпадение количества событий;
    • для отключения проверки по выбранному условия установите переключатель Отсутствует в положение "Включен".

  7. Нажмите кнопку Создать.

Редактирование шаблона группировки

  1. Выберите из списка необходимый шаблон и нажмите кнопку Редактировать.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование шаблона группировки

  1. Выберите из списка необходимый шаблон и нажмите кнопку Дублировать. Откроется окно "Дублировать шаблон группировки" (см. рисунок 5).

    Рисунок 5 – Окно "Дублировать шаблон группировки"

  2. Укажите в окне наименование шаблона.

  3. Нажмите кнопку Дублировать.

Удаление шаблона группировки

  1. Выберите из списка необходимый шаблон и нажмите кнопку Удалить.
  2. Подтвердите удаление в открывшемся окне.
  3. Шаблон группировки будет удален из платформы.

Массовое удаление шаблонов группировки

  1. Нажмите на кнопку . Откроется список массовых операций и флаги для выбора шаблонов (см. рисунок 6).

    Рисунок 6 – Массовые действия над шаблонами группировки

  2. Выберите шаблоны, которые необходимо удалить.

  3. Нажмите кнопку Удалить.
  4. Подтвердите удаление в открывшемся окне.
  5. Для удаления всех шаблонов нажмите кнопку Удалить все.