- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
11.7 Фильтрация на странице "Активы"
В пользовательском интерфейсе NT SIEM в разделе «Активы» данные отображаются от более новых к более старым.
Для фильтрации активов необходимо в поле поиска задать запрос и нажать на кнопку:
Далее отобразится таблица с инцидентами, соответствующих условиям запроса.
Существует возможность создания запросов путем нажатия на значение полей в блоке с подробной информацией об инциденте (см. в Руководство Пользователя).
Запросы должны быть организованы в виде пар «ключ:значение». Основной формат ввода состоит из пары, где ключ и значение разделены символом «:» без использования пробелов. Ключ представляет собой поле события. Значение представляет собой данные, соответствующие ключу. Значения могут быть представлены или в кавычках «" "», или без них.
Для получения выборки по всей фразе необходимо заключать ее в кавычки, например, group_name:"Assets company1". Однако, если кавычки не используются group_name: Assets company1, то поиск будет производиться согласно синтаксису: group_name: Assets OR (group_name: Assets OR ip:company1), а не такому синтаксису: group_name: Assets AND group_name:company1.
Следует обратить внимание, что в поисковом запросе group_name:Assets company1, поиск company1 будет производиться по всем дефолтным полям. Все поля описываются в схеме (табл.8).
Таблица 8 – Схема полей для поиска на странице «Активы»
Наименование для поиска
name
Наименование в пользовательском интерфейсе
Наименование
Наименование для поиска
ip
Наименование в пользовательском интерфейсе
IP-адрес
Наименование для поиска
system
Наименование в пользовательском интерфейсе
Операционная система
Наименование для поиска
importance_name
Наименование в пользовательском интерфейсе
Важность
Наименование для поиска
relevancy_notification_period
Наименование в пользовательском интерфейсе
Срок актуальности данных
Наименование для поиска
first_connection_at
Наименование в пользовательском интерфейсе
Дата первого подключения
Наименование для поиска
last_connection_at
Наименование в пользовательском интерфейсе
Дата последнего подключения
Наименование для поиска
groupe_name
Наименование в пользовательском интерфейсе
Наименование группы
| Наименование для поиска | Наименование в пользовательском интерфейсе |
|---|---|
name | Наименование |
ip | IP-адрес |
system | Операционная система |
importance_name | Важность |
relevancy_notification_period | Срок актуальности данных |
first_connection_at | Дата первого подключения |
last_connection_at | Дата последнего подключения |
groupe_name | Наименование группы |
Для комбинирования нескольких условий используются операторы (табл. 9), которые являются регистронезависимыми.
Текстовый оператор
OR
Символ
()
Описание
Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них.
Синтаксис
source_ipv4:"192.168.10.1" OR name:"Incident 1"
Текстовый оператор
AND
Символ
+
Описание
Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки.
Синтаксис
source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1"
Текстовый оператор
Символ
-
Описание
Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов.
Синтаксис
source_ipv4:"192.168.10.1" - name:"Incident 1"
Текстовый оператор
Символ
()
Описание
Используется для группировки операторов.
Синтаксис
(source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity"
Текстовый оператор
Символ
[]
Описание
Используется для поиска по заданному диапазону, включая граничные значения
Синтаксис
created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00]
Текстовый оператор
Символ
{}
Описание
Используется для поиска по заданному диапазону, исключая граничные значения
Синтаксис
created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00}
Текстовый оператор
Символ
IN
Описание
Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR.
Синтаксис
name: IN [test 1, test 2, test 3]
Текстовый оператор
Символ
*
Описание
Используется для поиска по всем полям.
Синтаксис
* -source_ipv4:"1.1.1.1"
Текстовый оператор
Символ
~
Описание
Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах.
Синтаксис
description: "тест русском" ~1
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
group_name:"Assets of company \"Name\" is inactive"
Пример валидного запроса. Отфильтровать агенты по условию: показать все инциденты со значимостью «Средняя»:
importance_name:"Medium"
Пример невалидного запроса. Отфильтровать агенты по условию: найти актив с наименованием «test name 2». Запрос является невалидным, так как значение находится в одинарных кавычках, необходимо использовать двойные кавычки.
name:'test name 2
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
11.7 Фильтрация на странице "Активы"
В пользовательском интерфейсе NT SIEM в разделе «Активы» данные отображаются от более новых к более старым.
Для фильтрации активов необходимо в поле поиска задать запрос и нажать на кнопку:
Далее отобразится таблица с инцидентами, соответствующих условиям запроса.
Существует возможность создания запросов путем нажатия на значение полей в блоке с подробной информацией об инциденте (см. в Руководство Пользователя).
Запросы должны быть организованы в виде пар «ключ:значение». Основной формат ввода состоит из пары, где ключ и значение разделены символом «:» без использования пробелов. Ключ представляет собой поле события. Значение представляет собой данные, соответствующие ключу. Значения могут быть представлены или в кавычках «" "», или без них.
Для получения выборки по всей фразе необходимо заключать ее в кавычки, например, group_name:"Assets company1". Однако, если кавычки не используются group_name: Assets company1, то поиск будет производиться согласно синтаксису: group_name: Assets OR (group_name: Assets OR ip:company1), а не такому синтаксису: group_name: Assets AND group_name:company1.
Следует обратить внимание, что в поисковом запросе group_name:Assets company1, поиск company1 будет производиться по всем дефолтным полям. Все поля описываются в схеме (табл.8).
Таблица 8 – Схема полей для поиска на странице «Активы»
Наименование для поиска
name
Наименование в пользовательском интерфейсе
Наименование
Наименование для поиска
ip
Наименование в пользовательском интерфейсе
IP-адрес
Наименование для поиска
system
Наименование в пользовательском интерфейсе
Операционная система
Наименование для поиска
importance_name
Наименование в пользовательском интерфейсе
Важность
Наименование для поиска
relevancy_notification_period
Наименование в пользовательском интерфейсе
Срок актуальности данных
Наименование для поиска
first_connection_at
Наименование в пользовательском интерфейсе
Дата первого подключения
Наименование для поиска
last_connection_at
Наименование в пользовательском интерфейсе
Дата последнего подключения
Наименование для поиска
groupe_name
Наименование в пользовательском интерфейсе
Наименование группы
| Наименование для поиска | Наименование в пользовательском интерфейсе |
|---|---|
name | Наименование |
ip | IP-адрес |
system | Операционная система |
importance_name | Важность |
relevancy_notification_period | Срок актуальности данных |
first_connection_at | Дата первого подключения |
last_connection_at | Дата последнего подключения |
groupe_name | Наименование группы |
Для комбинирования нескольких условий используются операторы (табл. 9), которые являются регистронезависимыми.
Текстовый оператор
OR
Символ
()
Описание
Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них.
Синтаксис
source_ipv4:"192.168.10.1" OR name:"Incident 1"
Текстовый оператор
AND
Символ
+
Описание
Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки.
Синтаксис
source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1"
Текстовый оператор
Символ
-
Описание
Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов.
Синтаксис
source_ipv4:"192.168.10.1" - name:"Incident 1"
Текстовый оператор
Символ
()
Описание
Используется для группировки операторов.
Синтаксис
(source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity"
Текстовый оператор
Символ
[]
Описание
Используется для поиска по заданному диапазону, включая граничные значения
Синтаксис
created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00]
Текстовый оператор
Символ
{}
Описание
Используется для поиска по заданному диапазону, исключая граничные значения
Синтаксис
created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00}
Текстовый оператор
Символ
IN
Описание
Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR.
Синтаксис
name: IN [test 1, test 2, test 3]
Текстовый оператор
Символ
*
Описание
Используется для поиска по всем полям.
Синтаксис
* -source_ipv4:"1.1.1.1"
Текстовый оператор
Символ
~
Описание
Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах.
Синтаксис
description: "тест русском" ~1
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
group_name:"Assets of company \"Name\" is inactive"
Пример валидного запроса. Отфильтровать агенты по условию: показать все инциденты со значимостью «Средняя»:
importance_name:"Medium"
Пример невалидного запроса. Отфильтровать агенты по условию: найти актив с наименованием «test name 2». Запрос является невалидным, так как значение находится в одинарных кавычках, необходимо использовать двойные кавычки.
name:'test name 2