Перейти к содержанию

Работа с просмотрщиком событий

Общие данные

Внимание! Раздел "Просмотр событий" доступен только пользователям с соответствующими правами на просмотр событий.

Раздел "Просмотр событий" предназначен для поиска, просмотра и анализа зафиксированных событий, вызвавших инцидент, включая сырые данные событий.

Первичная настройка вывода событий на экран

Проведение настройки

Для начала работы с событиями необходимо выполнить следующие действия:

  1. В поле "Время" указать временной диапазон поиска. Подробное описание вариантов выбора временного интервала приведено в раздел "Особенности выбора временного интервала";
  2. В поле "Индекс" указать:
    • искомый индекс, например ElasticSearch, для поиска;
    • оставить «*» для поиска по всему кластеру данных.
  3. Написать поисковый запрос или оставить поле пустым для просмотра всех событий;
  4. Нажать на кнопку "Поиск".

На экране отобразятся в виде диаграммы данные по событиям, произошедшим за указанный временной период и отвечающие заданным фильтрам (см. рисунок 1). Также на экране отобразится список описаний по каждому найденному событию.

Рисунок 1 -- Результат поиска событий по заданным параметрам

Сброс, сохранение, загрузка фильтров настройки просмотрщика

Для сброса всех фильтров настройки просмотрщика - нажать на кнопку "Очистить".

Настроенный набор фильтров можно сохранить для последующего использования - кнопка "Сохранить".

Для использования ранее созданного и сохраненного набора фильтров - нажать на кнопку "Загрузить".

Настройка обновления данных

В поле фильтров расположена функция настройки обновления данных - поле с пиктограммой ( ). По умолчанию устанавливается режим ручного обновления. Обновление вручную производится при нажатии на пиктограмму.

Для автообновления выбрать временной интервал обновления в раскрывающемся списке (см. рисунок 2).

Рисунок 2 -- Настройка обновления данных

Особенности выбора временного интервала

Быстрый выбор дат

"Просмотр событий" позволяет установить время по предустановленным временным интервалам (быстрый выбор дат).

Для настройки времени по предустановленному временному интервалу необходимо нажать на пиктограмму ( ) слева от поля "Время".

Откроется двухуровневый список "Быстрый выбор дат", включающий следующие предустановленные временные интервалы (см. рисунок 3):

  • Текущие:
    • Текущая минута;
    • Текущий час;
    • Текущий день;
    • Текущая неделя;
    • Текущий месяц;
    • Текущий год.
  • Последние - перечень последних используемых в сеансе точных временных интервалов (см. раздел "Точная настройка временных интервалов").
  • Минуты:
    • Прошлая минута;
    • Прошлые 3 минуты;
    • Прошлые 5 минут;
    • Прошлые 10 минут;
    • Прошлые 15 минут;
    • Прошлые 30 минут.
  • Часы:
    • Прошлый час;
    • Прошлые 2 часа;
    • Прошлые 3 часа;
    • Прошлые 6 часов;
    • Прошлые 12 часов.
  • Дни:
    • Прошлый день;
    • Прошлые 2 дня;
    • Прошлые 3 дня;
    • Прошлые 5 дней;
    • Прошлые 7 дней;
    • Прошлые 12 дней.
  • Месяцы:
    • Прошлый месяц;
    • Прошлые 2 месяца;
    • Прошлые 3 месяца;
    • Прошлые 6 месяцев.
  • Года:
    • Прошлый год;
    • Прошлые 2 года;
    • Прошлые 3 года.

Рисунок 3 -- Выбор предустановленного временного интервала для поиска событий

Точная настройка временного интервала

При необходимости можно настроить точный временной интервал для вывода событий. Для этого необходимо:

  1. Щёлкнуть по полю "Время";

  2. В открывшемся календаре выбрать дату начала и дату конца временного диапазона (см. рисунок 4). Если необходимо указать один день, то два раза щелкнуть по нужному дню;

Рисунок 4 -- Установка дат начала и конца временного интервала для поиска событий

  1. После установки дат откроется панель выбора времени в формате ЧЧ.ММ.СС для даты начала и конца временного интервала. Установить время для дат начала и конца временного интервала (см. рисунок 5);

Рисунок 5 -- Установка времени для дат начала и конца временного интервала для поиска событий

Анализ событий

Настройка просмотра временной диаграммы событий

На диаграмме отображается количество событий, зафиксированных за указанный временной интервал. События на диаграмме сгруппированы по заданным временным интервалам. Например: при выборе временного интервала группировки событий "по часам" в списке, расположенном в заголовке диаграммы, столбик диаграммы будет отображать события, зафиксированные в течение 1 часа (см. рисунок 6).

Если в списке выбрать значение "по минутам", то те же события будут отображаться на диаграмме в виде столбиков, в которых события сгруппированы по минутным интервалам (см. рисунок 7). Рисунок 6 -- Пример вывода данных о событиях с разбивкой по часам

Рисунок 7 -- Пример вывода данных о событиях с разбивкой по минутам

В списке выбора временных интервалов для группировки событий можно выбрать следующие типы разбивки:

  • авто (система сама подбирает временной интервал группировка для событий в заданном диапазоне);
  • по миллисекундам;
  • по секундам;
  • по минутам;
  • по часам;
  • по дням;
  • по неделям;
  • по месяцам;
  • по годам.

При наведении курсора мыши на столбик диаграммы всплывет окно с параметрами (см. рисунки 6 и 7):

  • количество событий, произошедших за заданный интервал времени для группировки событий;
  • начальное значение установленной временной отсечки.

Настройка полей табличного списка событий

Список событий по умолчанию

Под диаграммой расположен табличный список событий, произошедших в заданном диапазоне времени.

По умолчанию данный список содержит следующие поля (см. рисунок 5):

  • Поле "Время" - дата и время когда произошло событие;
  • Поле "_source" - содержит набор параметров.

Для табличного списка событий можно настроить набор полей (параметров), выводимых на экран. Список доступных для вывода на экран параметров отображен слева от диаграммы в области "Доступные поля" (см. рисунок 8).

Рисунок 8 -- Список событий по умолчанию

Добавление нового поля (параметра) в табличный список событий

Для включения параметра в список событий необходимо :

  1. В блоке "Доступные поля" навести курсор на интересующий параметр;
  2. Нажать на кнопку ( ), появившуюся при наведении курсора справа от названия параметра (см. рисунок 9).

Выбранный параметр будет добавлен в виде поля к табличному списку событий.

Также данный параметр отобразится слева от диаграммы в области "Выбранные поля" (см. рисунок 9).

Рисунок 9 -- Настройка полей табличного списка событий

Удаление поля (параметра) из табличного списка событий

Для исключения параметра из списка событий необходимо:

  1. В блоке "Выбранные поля" навести курсор на интересующий параметр;
  2. Нажать на кнопку ( ), появившуюся при наведении курсора справа от названия параметра.

Поле с данным параметром будет удалено из табличного списка событий.

Также данный параметр отобразится слева от диаграммы в области "Доступные поля".

Исключить параметр из списка можно непосредственно в самом списке:

  1. Навести курсор на название поля в списке, которое необходимо удалить;
  2. Нажать на появившийся значок удаления ( ) (см. рисунок 10).

Выбранное поле будет удалено из списка. Соответствующий ему параметр буде перенесён из области "Выбранные поля" в область "Доступные поля".

Рисунок 10 -- Удаление поля из списка событий

Фильтрация списка событий

Условия фильтрации, применяемые для списка событий

Для фильтрации списка событий могут применяться следующие условия:

  • "равен" - фильтрация по указанному значению параметра. Формируется список событий, у которых данный параметр содержит такое же значение.
  • "не равен" - фильтрация по указанному значению параметра. Формируется список событий, у которых данный параметр содержит значения отличные, от указанного.
  • "один из" - фильтрация по набору значений параметра. Формируется список событий, у которых данный параметр содержит значение из заданного набора.
  • "не один из" - фильтрация по набору значений параметра. Формируется список событий, у которых данный параметр содержит значения, не совпадающие с указанным набором.
  • "существует" - фильтрация по наличию у события указанного параметра. Формируется список событий, у которых данный параметр используется .
  • "не существует" - фильтрация по отсутствию у события указанного параметра. Формируется список событий, у которых данный параметр не используется.

Настройка фильтрации событий в списке по значению поля

Табличный список событий содержит встроенные средства фильтрации списка.

В строке сообщения при наведении курсора на значение любого поля справа появятся пиктограммы создания фильтра (см. рисунок 11):

  • - вывести на экран только те сообщения, у которых значение в данном поле совпадает с указанным ("равен"). Например вывести на экран только события произошедшие "06 сентября 2021, 12:39:56:944" (см. рисунок 11);
  • - вывести на экран только те сообщения, у которых значение в данном поле не совпадает с указанным ("не равен").

Рисунок 11 -- Встроенные средства фильтрации табличного списка по значению поля

При необходимости, фильтрацию можно проводить последовательно по нескольким параметрам. Произведённые фильтрации отображаются в поле фильтра, расположенном над диаграммой, виде записей на каждую проведенную фильтрацию (см. рисунок 12).

В записи фильтра указываются название и значение параметра (либо название фильтра, если оно было задано), по которому провидится фильтрация, а так же цветовая градация:

  • синий цвет записи - фильтрация по совпадению заданных в фильтре значений;
  • красный цвет записи - фильтрация по несовпадению заданных в фильтре значений.

Результаты фильтрации так же отображаются на диаграмме (см. рисунок 12).

Рисунок 12 -- Пример отфильтрованного по двум условиям списка сообщений

Снятие фильтра

Для снятия фильтра необходимо (см. рисунок 13):

  1. Навести курсор на нужную запись в поле фильтров - на записи фильтра отобразится панель управления данным фильтром;
  2. Нажать на пиктограмму "Удалить фильтр" - .

Рисунок 13 -- Управление фильтром

Панель управления фильтром

Панель управления фильтром содержит следующие функции (см. рисунок 13):

  • Выключить (включить) фильтр ( / ) - отключить действие данного фильтра на список. Сам фильтр остается доступен в поле фильтров и может быть задействован обратно;
  • Закрепить (открепить) фильтр ( / ) - закрепить (открепить) запись фильтра в области фильтров;
  • Включить (исключить) совпадения ( / ) - изменить действие фильтра на противоположное. Если фильтр работал по несовпадению, то после использования данной функции фильтр будет работать по совпадению значений поля;
  • Удалить фильтр ( ) - отключить действие данного фильтра на список и удалить запись из поля фильтров;
  • Отредактировать фильтр ( ) - открывает форму редактирования параметров фильтра. Может быть использована для создания нового фильтра на базе существующего.

Создание фильтра

Создать фильтр по списку сообщений можно вручную. Для этого необходимо:

  1. Нажать на кнопку "Новый фильтр" в поле фильтров;
  2. В открывшейся форме ввести следующие параметры (см. рисунок 14):
    • в строке "Поле" ввести название поля, по которому будет вестись фильтрация;
    • в раскрывающемся списке "Вид фильтрации" выбрать какой вид фильтрации будет применен (описание видов приведено в раздел "Условия фильтрации, применяемые для списка событий");
    • указать значение поля по которому будет вестись отбор;
    • в строке "Заголовок" при необходимости укать название фильтра, под которым строка фильтра будет отображаться в области фильтрации.
  3. Для сохранения и запуска фильтрации нажать на кнопку "Добавить".

В область фильтров добавляется запись о новом фильтре. Список событий фильтруется по новому условию. Рисунок 14 -- Создание нового фильтра вручную, редактирование фильтра

Редактирование фильтра

Если нужно отредактировать параметры использующегося фильтра, необходимо:

  1. Навести курсор на строку фильтра;

  2. В появившейся панели управления фильтром выбрать функцию редактирования - . Откроется окно редактирования с параметрами фильтра по составу идентичное окну создания фильтра (см. рисунок 14);

  3. Внести необходимые изменения в параметры фильтра;

  4. Для сохранения изменений нажать на кнопку "Добавить".

Просмотр детализации события

Доступ к детализации события

По каждому событию из списка можно просмотреть детализацию, включая "сырые" данные.

Для просмотра детализации необходимо нажать на пиктограмму , расположенную в начале строки интересующего события.

Область детализации раскрывается непосредственно в списке под указанным событием (см. рисунок 15) и состоит из двух вкладок: "Таблица" (по умолчанию) и "JSON". Также в детализации доступна функция "Найти инциденты" .

Детализация события на вкладке "Таблица"

Вкладка "Таблица" содержит (см. рисунок 15):

  • перечень всех параметров события;
  • значения данных параметров;
  • встроенные средства настройки и фильтрации табличного списка событий.

Встроенные средства фильтрации включают следующие функции :

  • - создать новый фильтр по данному параметру и его значению, вид фильтрации "равно". Формируется список из событий, у которых данный параметр содержит такое же значение;
  • - создать новый фильтр по данному параметру и его значению, вид фильтрации "не равно". Формируется список из событий, у которых данный параметр содержит значения отличные, от указанного;
  • - создать новый фильтр по данному полю, вид фильтрации "существует". Формируется список из событий, у которых данный параметр.

Встроенные средства настройки таблицы включают следующие функции:

  • - добавить колонку с данным параметром в табличный список событий.


Рисунок 15 -- Область детализации события, вкладка "Таблица"

Детализация события на вкладке "JSON"

Вкладка "JSON" содержит "сырые" данные события в формате JSON (см. рисунок 16).


Рисунок 16 -- Просмотр данных события в формате JSON

Создание инцидента из события

Для создания инцидента из событий необходимо выполнить следующие действия:

  1. На любой из вкладок детализации ("Таблица" или "JSON") нажать на кнопку "Найти инциденты";

  2. При нажатии на кнопку "Найти инциденты" будет произведен поиск событий среди созданных инцидентов и по результатам поиска предложены варианты (см. рисунок 17):

  3. Перейти к просмотру инцидента;

  4. Создание нового инцидента.


Рисунок 17 -- Создание инцидента из результатов поиска события

  1. Нажать на кнопку "Создать инцидент" (см. рисунок 17). Откроется форма создания инцидента (см. рисунок 18);

  2. В открывшейся форме необходимо минимум заполнить следующие данные:

    • тип инцидента;
    • дополнительные поля, если есть необходимость переопределить поля по умолчанию в типе инцидента;
    • оценку риска.
  3. Для создания инцидента нажать на кнопку "Сохранить".

Рисунок 18 - Форма создания инцидента из результатов поиска события