- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 12. Работа с активами
- 12.7 Фильтрация данных на странице "Активы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 12. Работа с активами
- 12.7 Фильтрация данных на странице "Активы"
12.7 Фильтрация данных на странице "Активы"
Для фильтрации активов по определенным критериям можно использовать поисковую строку и язык запросов (см. Руководство по созданию запросов).
Для удобства ввода запросов в строке поиска предусмотрена функция подсказок. Система предлагает три типа подсказок:
- подсказки по полям (ключам);
- по логическим операторам;
- по значениям.
Подсказки по ключам содержат названия доступных полей для поиска (например, ip, importance_name, is_active). Подсказки по логическим операторам содержат операторы AND, OR, NOT для построения сложных поисковых запросов.
Подсказки по значениям отображаются только для полей с предопределенным набором значений:
- полю importance_name соответствуют значения: Low, Medium, High;
- полю is_monitored соответствуют значения: True, False;
- полю is_active соответствуют значения: True, False.
Подсказки отображаются в виде выпадающего списка с возможностью прокрутки. Выбор осуществляется стрелками "⇅" и клавишей Enter или кликом мыши по необходимому элементу.
В поисковой строке доступна кнопка "?" (по умолчанию активна), которая позволяет:
- временно отключить отображение подсказок;
- включить подсказки обратно.
Состояние кнопки (включено/ выключено) сохраняется при переходе между страницами.
Список всех доступных для поиска полей приведен в таблице ниже (в табл. 8).
Таблица 8 – Схема полей для поиска на странице «Активы»
| Наименование для поиска | Наименование в пользовательском интерфейсе | Поле для сортировки |
|---|---|---|
name | Наименование | + (по умолчанию) |
ip | IP-адрес | + |
system | Операционная система | + |
importance_name | Значимость | + |
inactivity_notification_period | Срок актуальности данных | + |
last_connection_at | Дата последнего подключения | + |
groupe_name | Наименование группы активов | + |
is_monitored | Отслеживание актива | + |
is_active | Состояние актива | + |
Для комбинирования нескольких условий используются операторы (табл. 9), которые являются регистронезависимыми.
Таблица 9 – Операторы для фильтрации
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор "AND" обладает приоритетом. Таким образом, оператор "+" помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
Важно помнить, что при работе с временем необходимо использовать формат UTC, а также отделять временные метки пробелами с двух сторон.
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
Block of code
description:"Incident of type \"Significally dangerouse\" be careful"
Пример 1 валидного запроса. Отфильтровать инциденты по условию: показать все инциденты, кроме тех, у кого адрес источника IP-адрес «1.1.1.1» и тех, у кого IP-адрес назначения «2.2.2.2»:
Block of code
* -source_ipv4:"1.1.1.1" -destination_ipv4:"2.2.2.2"
Пример 2 валидного запроса. Отфильтровать инциденты по условию: показать инцидент c ID «11»:
Block of code
key_value:"11"
Пример невалидного запроса. Отфильтровать инциденты по условию: время создания от 15.11.2025 по 16.11.2025. Запрос является невалидным, так как диапазон указывается в «[]» или «{}» через «TO».
created_at:2025-11-15T11:00:00.0+03:00 - 2025-11-16T11:00:00.0+03:00
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 12. Работа с активами
- 12.7 Фильтрация данных на странице "Активы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 12. Работа с активами
- 12.7 Фильтрация данных на странице "Активы"
12.7 Фильтрация данных на странице "Активы"
Для фильтрации активов по определенным критериям можно использовать поисковую строку и язык запросов (см. Руководство по созданию запросов).
Для удобства ввода запросов в строке поиска предусмотрена функция подсказок. Система предлагает три типа подсказок:
- подсказки по полям (ключам);
- по логическим операторам;
- по значениям.
Подсказки по ключам содержат названия доступных полей для поиска (например, ip, importance_name, is_active). Подсказки по логическим операторам содержат операторы AND, OR, NOT для построения сложных поисковых запросов.
Подсказки по значениям отображаются только для полей с предопределенным набором значений:
- полю importance_name соответствуют значения: Low, Medium, High;
- полю is_monitored соответствуют значения: True, False;
- полю is_active соответствуют значения: True, False.
Подсказки отображаются в виде выпадающего списка с возможностью прокрутки. Выбор осуществляется стрелками "⇅" и клавишей Enter или кликом мыши по необходимому элементу.
В поисковой строке доступна кнопка "?" (по умолчанию активна), которая позволяет:
- временно отключить отображение подсказок;
- включить подсказки обратно.
Состояние кнопки (включено/ выключено) сохраняется при переходе между страницами.
Список всех доступных для поиска полей приведен в таблице ниже (в табл. 8).
Таблица 8 – Схема полей для поиска на странице «Активы»
| Наименование для поиска | Наименование в пользовательском интерфейсе | Поле для сортировки |
|---|---|---|
name | Наименование | + (по умолчанию) |
ip | IP-адрес | + |
system | Операционная система | + |
importance_name | Значимость | + |
inactivity_notification_period | Срок актуальности данных | + |
last_connection_at | Дата последнего подключения | + |
groupe_name | Наименование группы активов | + |
is_monitored | Отслеживание актива | + |
is_active | Состояние актива | + |
Для комбинирования нескольких условий используются операторы (табл. 9), которые являются регистронезависимыми.
Таблица 9 – Операторы для фильтрации
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор "AND" обладает приоритетом. Таким образом, оператор "+" помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
Важно помнить, что при работе с временем необходимо использовать формат UTC, а также отделять временные метки пробелами с двух сторон.
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
Block of code
description:"Incident of type \"Significally dangerouse\" be careful"
Пример 1 валидного запроса. Отфильтровать инциденты по условию: показать все инциденты, кроме тех, у кого адрес источника IP-адрес «1.1.1.1» и тех, у кого IP-адрес назначения «2.2.2.2»:
Block of code
* -source_ipv4:"1.1.1.1" -destination_ipv4:"2.2.2.2"
Пример 2 валидного запроса. Отфильтровать инциденты по условию: показать инцидент c ID «11»:
Block of code
key_value:"11"
Пример невалидного запроса. Отфильтровать инциденты по условию: время создания от 15.11.2025 по 16.11.2025. Запрос является невалидным, так как диапазон указывается в «[]» или «{}» через «TO».
created_at:2025-11-15T11:00:00.0+03:00 - 2025-11-16T11:00:00.0+03:00