Перейти к содержанию

События

Общие данные

Платформа Радар предоставляет большое количество информации о событиях информационной безопасности и удобные инструменты по их анализу:

  • просмотр потока событий в виде графика;
  • просмотр выделенного фрагмента потока событий в виде круговой диаграммы, таблицы или гистограммы;
  • просмотр детальной информации по каждому событию;
  • просмотр событий на выбранном инстансе, если платформа работает в режиме мультиарендности.

При рассмотрении событий пользователю предоставляется следующая информация:

  • id – уникальный идентификатор события;
  • этап разбора события. Может принимать следующие значения: Событие нормализовано, Событие разобрано, Событие не разобрано;
  • информация о полях события.

По результатам анализа событий платформа предоставляет следующие возможности:

  • cоздание инцидента на основе анализа события;
  • добавление события в существующий инцидент;
  • быстрый переход к просмотру инцидента, в котором участвует событие.

Платформа предоставляет широкий набор инструментов для формирования списка событий:

  • фильтрация по следующим параметрам: по периоду, по этапам разбора события, по запросам к конкретным полям события, по агрегациям;
  • пресеты – вы можете сохранить часто используемые условия фильтрации как пресет;
  • поиск по значениям полей события;
  • фильтрация по выбранным полям просматриваемого события;
  • просмотр истории поиска с возможностью повторного применения ранее используемых условий фильтрации.

Для работы с событиями перейдите в новый интерфейс и откройте раздел События (см. рисунок 1).

Рисунок 1 – Страница "События"

Интерфейс раздела состоит из следующих блоков:

  • график "Поток событий";
  • топ-10 значений по выделенной области потока событий (опционально);
  • список событий;
  • фильтры – настройка условий фильтрации потока событий;
  • пресеты – список сохраненных условий фильтрации.

График "Поток событий"

Блок представляет из себя график, в котором отображается плотность появления событий за период времени.

Пример потока событий приведен на рисунке 2.

Рисунок 2 – Страница "События". График "Поток событий"

В блоке доступны следующие элементы управления:

Кнопка Действие
/ показать / скрыть боковую панель
выбор периода
Автообновление данных из выпадающего списка выбирается режим автоматического обновления списка событий. Доступные значения:
- выключен;
- по секундам: каждые 5, 10, 30 секунд;
- по минутам: каждые, 1, 5, 10, 30 минут.
Выбор инстанса из выпадающего списка выбирается инстанс, поток событий с которого необходимо отобразить на графике. Возможность доступна только если платформа работает в режиме мультиарендности
/ показать / скрыть график потока событий
обновить список событий
просмотр предыдущего запроса из истории поиска событий
просмотр следующего запроса из истории поиска событий
просмотр истории поиска событий
выбор плотности отрисовки значений графика "Поток событий"
инструмент "Прямоугольное выделение" - создает прямоугольную рамку вокруг области на графике потока событий, ограничивая ее по горизонтальным и вертикальным сторонам
инструмент "Выделение по горизонтали" - создает прямоугольную рамку вокруг области по оси X, при этом выделяя все значения по оси Y
режим "Массовое выделение" - позволяет прямоугольному и горизонтальному выделению создать рамку вокруг нескольких областей на графике потока событий

Топ-10 значений по выделенной области потока событий

В блоке отображаются первые 10 запросов о регистрации событий в платформе за выбранный период.

Блок появляется после выделения области на графике "Поток событий". Для выделения области на графике выполните следующие действия:

  1. Сформируйте график "Поток событий" (см. раздел Работа с фильтрами).
  2. Выберите инструмент для выделения:
    • – прямоугольное выделение;
    • – выделение по горизонтали.
  3. Нарисуйте выделение, перетаскивая инструмент по графику потока событий.
  4. В блоке ниже будет отображаться статистика по выделенной области.
  5. Для выделения нескольких областей на графике, включите режим "Массовое выделение" по кнопке .
  6. Используйте инструмент Масштабирование для более точного выделения нужной области.

Пример блока приведен на рисунке 3.

Рисунок 3 – Страница "События". Блок "Топ-10"

В блоке отображается следующая информация:

  • дата и время регистрации событий в платформе;
  • количество событий в запросе о регистрации.

Информацию можно вывести следующими способами:

  • столбчатая диаграмма (см. рисунок 3);
  • таблица;
  • круговая диаграмма (см. рисунок 4).

Рисунок 4 – Блок "Топ-10". Круговая диаграмма

Для закрытия блока нажмите кнопку .

Масштабирование графика потока событий

Для более подробной детализации графика потока событий используйте инструмент "Масштабирование" (см. рисунок 5).

Рисунок 5 – Элементы управления масштабом

Инструмент позволяет менять масштаб следующим образом:

  • изменение диапазона отображаемой области по оси X;
  • перемещение выбранного диапазона по оси Х.

Для использования инструмента выполните следующие действия:

  1. Наведите курсор на нужный элемент управления масштабом.
  2. Зажмите ЛКМ.
  3. Двигайте курсор в нужном направлении. Данные на графике будут автоматически изменяться.

Список событий

Блок располагается под графиком "Поток событий". В блоке отображается информация о событиях. Информация о событиях может отображаться двумя способами:

  • в карточном виде (используется по умолчанию);
  • в табличном виде.

Карточный вид

Панель управления располагается над списком событий (см. рисунок 6).

Рисунок 6 – Панель управления списком событий

В карточном виде на панели доступны следующие элементы управления:

Кнопка Действие
Поиск поиск по значениям полей события
Табличный вид включить табличный вид
Сортировка настроить параметры сортировки событий в списке
Набор полей выбрать поля для отображения в таблице (только для табличного вида)
доступ к следующим действиям над событиями:
- экспортировать страницу в CSV;
- экспортировать в CSV.
Подробнее см. раздел Экспорт списка событий.

Пример отображения событий в карточном виде (см. рисунок 7).

Рисунок 7 – Список событий в карточном виде

По кнопкам Показать больше / Показать меньше можно открыть/скрыть отображение всех полей события (см. рисунок 8).

Рисунок 8 – Просмотр карточки события

При просмотре событий в карточном виде доступны следующие элементы управления:

Кнопка Действие
установить фильтр "Равно". В параметры запроса фильтра добавится условие поиска событий по значению равным в указанном поле. Элемент управления появляется при наведении курсора мыши на соответствующую область
установить фильтр "Не равно". В параметры запроса фильтра добавится условие поиска событий по всем значениям, кроме того, что указано в поле. Элемент управления появляется при наведении курсора мыши на соответствующую область
установить фильтр "Существует". В параметры запроса фильтра добавится условие поиска событий по всем событиям, в которых существует выбранное поле. Элемент управления появляется при наведении курсора мыши на соответствующую область
доступ к следующим действиям над событием:
- скопировать событие
- найти инцидент, в котором присутствует событие.

Если после выполнения функции Найти инцидент не были найдены подходящие инциденты, то становятся доступны следующие действия:
- создать инцидент;
- добавить к инциденту.

Табличный вид

Для переключения списка событий в табличный вид нажмите кнопку Табличный вид.

Панель управления располагается над таблицей (см. рисунок 9).

Рисунок 9 – Панель управления табличным представлением списка событий

В табличном виде на панели доступны следующие элементы управления:

Кнопка Действие
Поиск поиск по значениям полей события
Карточки включить карточный вид
/ включить/выключить возможность изменения столбцов. После включения функции в заголовках столбцов появятся кнопки / , которые позволяют изменять порядок столбцов
/ включить/выключить отображение полного наименования заголовков столбцов таблицы
Сортировка настроить параметры сортировки событий в списк
Набор полей выбрать поля для отображения в таблице
доступ к следующим действиям над событиями:
- экспортировать страницу в CSV;
- экспортировать в CSV.
Подробнее см. раздел Экспорт списка событий

Пример табличного представления данных приведен на рисунке 10.

Рисунок 10 – Список событий в табличном виде

Кнопка , которая располагается в конце строки, предоставляет доступ к действию "Найти инцидент" (подробнее см. раздел Поиск инцидента).

При клике на строку таблицы откроется блок Просмотр события, в котором отображается выбранное событие в карточном виде (см. рисунок 11).

Рисунок 11 – Список событий в табличном виде. Просмотр события

В блоке Просмотр события доступны следующие элементы управления:

Кнопка Действие
закрепить выбранное событие в блоке Просмотр события
/ открыть следующее / предыдущее событие из списка
включить / выключить отображение кнопок по установке фильтров и добавления поля в набор столбцов таблицы
установить фильтр "Равно". В параметры запроса фильтра добавится условие поиска событий по значению равным в указанном поле. Элемент управления появляется при наведении курсора мыши на соответствующую область
установить фильтр "Не равно". В параметры запроса фильтра добавится условие поиска событий по всем значениям, кроме того, что указано в поле. Элемент управления появляется при наведении курсора мыши на соответствующую область
установить фильтр "Существует". В параметры запроса фильтра добавится условие поиска событий по всем событиям, в которых существует выбранное поле. Элемент управления появляется при наведении курсора мыши на соответствующую область
/ добавить/исключить поле из набора столбцов таблицы
доступ к следующим действиям над событием:
- скопировать событие
- найти инцидент, в котором присутствует событие.

Если после после выполнения функции Найти инцидент не были найдены подходящие инциденты, то становятся доступны следующие действия:
- создать инцидент;
- добавить к инциденту.

Работа с фильтрами

Настройка фильтра выполняется на вкладке "Фильтры" (см. рисунок 12).

Рисунок 12 – Страница "События". Вкладка "Фильтры"

При работе с фильтрами доступны следующие элементы управления:

Кнопка Действие
Добавить запрос добавление запроса в условия фильтра
Добавить агрегацию добавление агрегаций в условия фильтра
редактирование запроса/агрегации
удаление запроса/агрегации
Сбросить очистить условия фильтра

Настройку условий фильтра можно поделить на два этапа.

Первый этап – настройка периода и автообновления данных. Для этого в блоке График потока событий выполните следующие действия:

  1. В поле "Автообновление данных" из выпадающего списка выберите режим автоматического обновления данных. Доступные значения:
    • выключен;
    • по секундам: каждые 5, 10, 30 секунд;
    • по минутам: каждые 1, 5, 10, 30 минут.
  2. В поле Период нажмите кнопку . Откроется окно выбора временного диапазона.
  3. В открывшемся окне выберите период и нажмите кнопку Применить. Доступные значения:
    • текущие: минута, час, день, месяц, год;
    • последние: минуты, часы, месяца, года;
    • период можно указать вручную в соответствующих полях. Поддерживается формат дат из Grafana.

Второй этап – настройка запросов и агрегаций. Для этого в боковой панели на вкладке Фильтры выполните следующие действия:

  1. В поле Нормализованное событие выберите этап разбора события:
    • событие нормализовано - будут показаны только нормализованные события;
    • событие разобрано - будут показаны только разобранные события;
    • событие не разобрано - будут показаны только неразобранные события;
    • не важно - будут показаны все события.
  2. В поле Запрос добавьте необходимое количество запросов (см. раздел Добавление запроса).
  3. В поле Агрегация добавьте необходимое количество агрегаций (см. раздел Добавление агрегации).
  4. При необходимости вы можете сохранить условия фильтра как пресет (см. раздел Работа с пресетами).

Также вы можете посмотреть журнал истории поиска и применить соответствующий фильтр из истории (см. раздел История поиска).

Настройка запросов

Настройка запросов включает в себя следующие процессы:

  1. Добавление запроса.
  2. Сохранение конфигурации запроса.

Добавление запроса в условия фильтра

Добавление запроса в условия фильтра можно выполнить тремя способами:

  • Способ 1. Ручное добавление нового запроса.
  • Способ 2. Добавление запроса из списка сохраненных.
  • Способ 3. Добавление условий в запрос из полей события.

Все добавленные запросы отобразятся в соответствующем блоке (см. рисунок 13).

Рисунок 13 – Вкладка "Фильтры". Список запросов

Способ 1. Ручное добавление нового запроса

  1. На вкладке Фильтры в блоке Запрос нажмите кнопку Добавить запрос. Откроется окно "Добавить запрос" (см. рисунок 14).

    Рисунок 14 – Окно "Добавить запрос"

  2. Укажите следующие данные:

    • из выпадающего списка выберите поле, по которому будет выполняться запрос;
    • в поле "Действие" из выпадающего списка выберите логический оператор;
    • в поле "Значение" укажите значение логического оператора.
  3. Нажмите кнопку Сохранить.
  4. Добавьте необходимое количество запросов.

Способ 2. Добавление запроса из списка сохраненных

Примечание. Подробнее о сохранении запроса см. раздел Сохранение конфигурации запроса.

  1. На вкладке Фильтры в блоке Запрос нажмите кнопку Сохраненные запросы. Откроется окно "Сохраненные запросы" (см. рисунок 15).

    Рисунок 15 – Окно "Сохраненные запросы"

  2. В поле "Категория" выберите сохраненную категорию, а затем необходимый запрос. Отобразится структура запроса (см. рисунок 16).

    Рисунок 16 – Окно "Сохраненные запросы". Структура запроса

  3. Проверьте структуру запроса и нажмите кнопку Сохранить.

Способ 3. Добавление запросов по полям событий.

Если список событий уже сформирован, то вы можете добавить в запрос условия по выбранным полям конкретного события.

Для этого откройте карточку события и в соответствующем поле выберите нужное условие:

  • для добавления в запрос условия "Равен" выберите поле и нажмите кнопку ;
  • для добавления в запрос условия "Не равен" выберите поле и нажмите кнопку ;
  • для добавления в запрос условия "Существует" выберите поле и нажмите кнопку .

Пример, добавленных таких способом запросов, приведен на рисунке 17.

Рисунок 17 – Добавление запросов по полям событий

Сохранение конфигурации запроса

Настроенную конфигурацию запросов можно сохранить для дальнейшего использования.

Для этого выполните следующие действия:

  1. Добавьте необходимое количество условий в запрос.

  2. Нажмите кнопку Сохранить выбор как. Откроется окно "Сохранить запрос" (см. рисунок 18).

    Рисунок 18 – Окно "Сохранить запрос"

  3. Укажите следующие данные:

    • в поле "Выберите категорию" из выпадающего списка выберите категорию, в которую будет сохранен запрос;
    • если вы еще не добавили ни одной категории, то нажмите кнопку + , укажите название категории и сохраните изменения;
    • в поле "Введите название" укажите название запроса.
  4. Нажмите кнопку Сохранить.

Настройка агрегации

Агрегация - функция группировки результатов поиска по выбранному полю.  

Агрегацию можно выполнить по следующим функциям:

  • min – по минимальным значениям;
  • max – по максимальным значениям;
  • sum – по сумме всех значений;
  • avg – по среднему значению;
  • stats – вывод по функциям count, min, max, sum, avg;
  • terms – поиск нескольких значений в одном поле.

Для функции terms можно добавить подагрегации.

Результат поиска по агрегации будет выводиться в табличном виде вместо графика потока событий (см. рисунок 19).

Рисунок 19 – Страница "События". Просмотр агрегаций

Настройка агрегации включает в себя следующие процессы:

  1. Добавление агрегации.
  2. Добавление подагрегации.
  3. Сохранение агрегации.

Добавление агрегации

Способ 1. Ручное добавление агрегации.

  1. На вкладке Фильтры в блоке Агрегация нажмите кнопку Добавить агрегацию. Откроется окно "Добавить агрегацию" (см. рисунок 20).

    Рисунок 20 – Окно "Добавить агрегацию"

  2. Укажите следующие данные:

    • в поле "Действие" из выпадающего списка выберите функцию агрегации;
    • из выпадающего списка выберите поле, по которому будет выполняться функция агрегации.
  3. Нажмите кнопку Сохранить.
  4. Добавьте необходимое количество агрегаций.

Способ 2. Добавление агрегации из списка сохраненных

Примечание. Подробнее о сохранении агрегаций см. раздел Сохранение агрегации.

  1. На вкладке Фильтры в блоке Агреграции нажмите кнопку Сохраненные агрегации. Откроется окно "Сохраненные агрегации" (см. рисунок 21).

    Рисунок 21 – Окно "Сохраненные агрегации"

  2. В поле "Категория" выберите сохраненную категорию, а затем необходимую агрегацию. Отобразятся параметры агрегации (см. рисунок 22).

    Рисунок 22 – Окно "Сохраненные агрегации". Структура агрегации

  3. Проверьте структуру агрегации и нажмите кнопку Сохранить.

Добавление подагрегации

Вы можете добавить в агрегацию необходимое количество подагрегаций.

Чтобы добавить подагрегацию необходимо при добавлении/редактировании агрегации в поле "Действие" из выпадающего списка выбрать функцию terms. Откроется блок для добавления подагрегаций (см. рисунок 23).

Рисунок 23 – Окно "Добавить агрегацию". Блок "Подагрегации"

Нажмите кнопку Добавить подагрегацию. Действия по добавлению подагрегации аналогичны действиям при добавлении агрегации.

При необходимости вы можете сделать подагрегацию многоуровневой, также указав при ее добавлении в поле "Действие" функцию terms.

Добавьте необходимое количество подагрегаций и нажмите кнопку Сохранить.

Сохранение агрегации

Настроенную агрегацию можно сохранить для дальнейшего использования.

Для этого выполните следующие действия:

  1. Добавьте необходимое количество условий в агрегацию.

  2. Нажмите кнопку Сохранить выбор как. Откроется окно "Сохранить агрегацию" (см. рисунок 24).

    Рисунок 24 – Окно "Сохранить агрегацию"

  3. Укажите следующие данные:

    • в поле "Выберите категорию" из выпадающего списка выберите категорию, в которую будет сохранена агрегация;
    • если вы еще не добавили ни одной категории, то нажмите кнопку + , укажите название категории и сохраните изменения;
    • в поле "Введите название" укажите название агрегации.
  4. Нажмите кнопку Сохранить.

Работа с пресетами

Пресет - это сохраненные условия фильтрации, которые можно использовать как шаблон для формирования списка событий.

Работа с пресетами выполняется на вкладке "Пресеты" (см. рисунок 25).

Рисунок 25 – Страница "События". Вкладка "Пресеты"

На вкладке отображается следующая информация:

  • название пресета;
  • дата создания пресета.

Работа с пресетами включает в себя следующие процессы:

  1. Создание пресета.
  2. Применение пресета.
  3. Удаление пресета.

Создание пресета

  1. Настройте условия фильтра для получения списка событий.
  2. Перейдите на вкладку "Пресеты".

  3. Нажмите кнопку Создать пресет. Откроется окно "Создание пресета" (см. рисунок 26).

    Рисунок 26 – Окно "Создание пресета"

  4. Укажите следующие данные:

    • в поле "Введите название" укажите название пресета;
    • установите флаг "Сохранить период" если необходимо сохранить данные о периоде формирования списка событий.
  5. Нажмите кнопку Сохранить.

Применение пресета

  1. Перейдите на вкладку "Пресеты".
  2. Выберите пресет и нажмите кнопку Применить.
  3. Будет сформирован список событий по сохраненному шаблону.

Удаление пресета

  1. Перейдите на вкладку "Пресеты".
  2. Выберите пресет и нажмите кнопку Удалить.
  3. Пресет будет удален из списка.

История поиска

Платформа Радар ведет историю поиска событий.

Для ее просмотра нажмите кнопку . Отроется окно "История поиска" (см. рисунок 27).

Рисунок 27 – Окно "История поиска"

В окне отображается следующая информация:

  • день формирования списка событий;
  • время создания списка событий;
  • период, за который был сформирован список событий;
  • условия запроса, по которым был сформирован список событий.

Вы можете сформировать список событий из истории поиска. Для этого в соответствующей строке нажмите кнопку Применить.

Работа с событиями

Перед началом работы с событиями:

  1. Ознакомьтесь с общими данными и интерфейсом раздела (см. раздел Общие данные).
  2. Сформируйте список событий (см. раздел Работа с фильтрами).

Пример сформированного списка событий приведен на рисунке 28.

Рисунок 28 – Страница "События". Сформированный список событий

Работа с событиями включает в себя следующие процессы:

  1. Поиск инцидента. Если результат поиска не дал результатов, то становятся доступны следующие действия:

  2. Экспорт списка событий.

При работе с событиями можно воспользоваться следующими вспомогательными инструментами для анализа событий:

  • поиск событий;
  • просмотр событий по сформированной агрегации;
  • настройка плотности отрисовки значений графика;
  • сортировка событий;
  • настройка набора полей для табличного вида.

Поиск инцидента

Для поиска инцидента, к которому относится событие, выполните следующие действия:

  1. В зависимости от вида, в котором выполняется просмотр списка событий нажмите кнопку в теле события:
    • - если включен карточный вид;
    • - если включен табличный вид.

  2. Выберите пункт Найти инцидент. Откроется окно "Ссылки на инциденты" (см. рисунок 29).

    Рисунок 29 – Список найденных инцидентов по событию

  3. Для открытия инцидента нажмите на нужную ссылку.

Создание инцидента

Действие доступно только после выполнения действия Найти инцидент.

Примечание. Подробнее об инцидентах см. раздел Работа с инцидентами.

Платформа Радар позволяет создать инцидент на основе подозрительного события.

Для этого выполните следующие действия:

  1. В зависимости от вида, в котором выполняется просмотр списка событий нажмите кнопку в теле события:
    • - если включен карточный вид;
    • - если включен табличный вид.

  2. Выберите пункт Создать инцидент. Откроется окно Быстрое создание инцидента (см. рисунок 30).

    Рисунок 30 – Окно "Быстрое создание инцидента"

  3. Выполните в окне следующие действия:

    • в поле Правило корреляции из выпадающего списка выберите правила корреляции, на основе которого будет создан инцидент;
    • в поле Название укажите наименование инцидента;
    • в поле Уровень риска выберите цифровое обозначение уровня риска создаваемого инцидента.

  4. Нажмите кнопку Создать.

Добавление события в инцидент

Действие доступно только после выполнения действия Найти инцидент.

Примечание. Подробнее об инцидентах см. раздел Работа с инцидентами.

Платформа Радар позволяет добавить событие или несколько событий в уже созданный инцидент.

Для этого выполните следующие действия:

  1. В зависимости от вида, в котором выполняется просмотр списка событий нажмите кнопку в теле события:
    • - если включен карточный вид;
    • - если включен табличный вид.

  2. Выберите пункт Добавить к инциденту. Откроется окно Быстрое создание инцидента (см. рисунок 31).

    Рисунок 31 – Окно "Добавить события"

  3. Выполните в окне следующие действия:

    • в поле Правило корреляции из выпадающего списка выберите соответствующее правило корреляции;
    • в поле Инцидент выберите инцидент, в который будет добавлено событие.

  4. Нажмите кнопку Добавить. После успешного добавления события в инцидент платформа предложит вам открыть соответствующий инцидент.

Экспорт списка событий

Платформа Радар позволяет выгрузить список событий, отображаемых на странице, в файл формата CSV. Для этого выполните следующие действия:

  1. Сформируйте список событий.
  2. Нажмите кнопку и из выпадающего списка выберите пункт Экспортировать страницу в CSV.
  3. Укажите путь для сохранения файла.

Помимо экспорта сформированного списка событий, в платформе доступен экспорт событий в файлы формата CSV на всю глубину фильтрации:

  1. Сформируйте список событий.

  2. Нажмите кнопку и из выпадающего списка выберите пункт Экспортировать в CSV. Откроется окно Экспорт событий в CSV (рисунок 32).

    Рисунок 32 – Окно "Экспорт событий в CSV"

  3. Настройте в окне параметры экспорта:

    • Максимальное количество экспортируемых событий – укажите количество событий, которое вы хотите экспортировать. В поле автоматически отображается максимальное число событий, выведенных по примененному фильтру;

      Примечание: чем больше значение, тем дольше будет выполняться операция экспорта.

    • Максимальное количество событий в файле – укажите максимальное количество событий, которое будет выгружено в один файл.

      Примечание: чем больше значение, тем объемней будет файл. Ограничение: не более 100000 записей в один файл.

    • Экспортировать все поля – при необходимости включите экспорт всех полей события в файл. Если опция выключена, то будет выполнен экспорт только тех полей, которые настроены для отображения в табличном виде (см. раздел Настройка набора полей для табличного вида).

  4. Нажмите кнопку Скачать в CSV. Начнется процесс экспорта, который может занять некоторое время. По ходу выполнения операции будут формироваться и автоматически скачиваться файлы с событиями. Файлы заполняются в соответствии с примененной фильтрацией: от первого события в списке к последнему.

Вспомогательные инструменты для анализа событий

Поиск событий

Примечание: начиная с версии 3.7.0 в Платформе Радар заменена поисковая система с ElasticSearch на OpenSearch. Платформа Радар позволяет искать конкретные события по значениям полей. При этом сохранилась возможность использовать в строке поиска синтаксис строкового поиска Lucene.

Для поиска событий укажите необходимое значение или выражение в строке поиска. Результаты поиска выводятся автоматически по мере заполнения поля.

Пример 1. Поиск всех событий, в которых поле elastic_key имеет значение "Разобрано" (см. рисунок 33).

Синтаксис elastic_key: (parsed).

Рисунок 33 – Поиск всех событий, в которых поле elastic_key имеет значение "Разобрано"

Пример 2. Поиск всех событий, в которых поле elastic_key имеет значение отличное от "Разобрано" (см. рисунок 34).

Синтаксис: elastic_key: (NOT parsed)

Рисунок 34 – Поиск всех событий, в которых поле elastic_key имеет значение отличное от "Разобрано"

Пример 3. Поиск по конкретному значению поля (см. рисунок 35).

Рисунок 35 – Поиск по конкретному значению

Просмотр событий по сформированной агрегации

Платформа Радар позволяет просматривать события, данные по которым были сформированы по результату агрегации.

Для этого настройте агрегации (см. раздел Добавление агрегации) и нажмите на соответствующую ссылку в таблице результатов (см. рисунок 36).

Рисунок 36 – Просмотр результатов агрегации

Произойдет переход на страницу "События", где в условиях фильтрации будет применен соответствующий запрос.

Настройка плотности отрисовки потока событий

При необходимости вы можете задать плотность отрисовки потока событий на графике. Доступны следующие значения:

  • по годам;
  • по месяцам;
  • по дням;
  • по часам: по три часа, по одному часу;
  • по минутам: по тридцать минут, по десять минут, по одной минуте;
  • по секундам.

Для изменения плотности отрисовки в правом верхнем углу графика "Поток событий" из выпадающего списка выберите необходимое значение (см. рисунок 37).

Рисунок 37 – Настройка плотности отрисовки потока событий

Сортировка событий

Платформа позволяет сортировать порядок событий в списке по значениям выбранных полей.

Для этого нажмите кнопку Сортировка. Откроется окно настройки сортировки (см. рисунок 38).

Рисунок 38 – Настройка сортировки списка событий

Для настройки сортировки воспользуйтесь следующими приемами:

  • для выбора полей, по которым будет выполняться сортировка, установите флаги в соответствующих полях;
  • сортировка выполняется в порядке добавления полей. Для изменения порядка сортировки используйте кнопки / ;
  • для полей, по которым выполняется сортировка, можно задать направление сортировки:
    • - от последнего к первому;
    • - от первого к последнему.

Настройка набора полей для табличного вида

Для табличного вида списка событий вы можете настроить набор полей для отображения в таблице.

Для этого включите табличный вид по кнопке и нажмите кнопку Набор полей. Откроется окно "Выбор набора полей" (см. рисунок 39).

Рисунок 39 – Окно "Выбор набора полей"

В окне выполните следующие действия:

  1. Выберите поля, информацию по которым необходимо отобразить в табличном виде, установив соответствующие флаги.
  2. Настройте порядок столбцов таблицы с помощью кнопок / .
  3. Нажмите кнопку Применить.