- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
11.7 Фильтрация на странице "Активы"
В пользовательском интерфейсе NT SIEM в разделе «Активы» данные отображаются от более новых к более старым.
Для фильтрации активов необходимо в поле поиска задать запрос и нажать на кнопку:
Далее отобразится таблица с инцидентами, соответствующих условиям запроса.
Существует возможность создания запросов путем нажатия на значение полей в блоке с подробной информацией об инциденте (см. в Руководство Пользователя).
Запросы должны быть организованы в виде пар «ключ:значение». Основной формат ввода состоит из пары, где ключ и значение разделены символом «:» без использования пробелов. Ключ представляет собой поле события. Значение представляет собой данные, соответствующие ключу. Значения могут быть представлены или в кавычках «" "», или без них.
Для получения выборки по всей фразе необходимо заключать ее в кавычки, например, group_name:"Assets company1". Однако, если кавычки не используются group_name: Assets company1, то поиск будет производиться согласно синтаксису: group_name: Assets OR (group_name: Assets OR ip:company1), а не такому синтаксису: group_name: Assets AND group_name:company1.
Следует обратить внимание, что в поисковом запросе group_name:Assets company1, поиск company1 будет производиться по всем дефолтным полям. Все поля описываются в схеме (табл.8).
Таблица 8 – Схема полей для поиска на странице «Активы»
| Наименование для поиска | Наименование в пользовательском интерфейсе |
|---|---|
name | Наименование |
ip | IP-адрес |
system | Операционная система |
importance_name | Важность |
relevancy_notification_period | Срок актуальности данных |
first_connection_at | Дата первого подключения |
last_connection_at | Дата последнего подключения |
groupe_name | Наименование группы |
Для комбинирования нескольких условий используются операторы (табл. 9), которые являются регистронезависимыми.
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
Block of code
group_name:"Assets of company \"Name\" is inactive"
Пример валидного запроса. Отфильтровать агенты по условию: показать все инциденты со значимостью «Средняя»:
Block of code
importance_name:"Medium"
Пример невалидного запроса. Отфильтровать агенты по условию: найти актив с наименованием «test name 2». Запрос является невалидным, так как значение находится в одинарных кавычках, необходимо использовать двойные кавычки.
Block of code
name:'test name 2
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 11. Работа с активами
- 11.7 Фильтрация на странице "Активы"
11.7 Фильтрация на странице "Активы"
В пользовательском интерфейсе NT SIEM в разделе «Активы» данные отображаются от более новых к более старым.
Для фильтрации активов необходимо в поле поиска задать запрос и нажать на кнопку:
Далее отобразится таблица с инцидентами, соответствующих условиям запроса.
Существует возможность создания запросов путем нажатия на значение полей в блоке с подробной информацией об инциденте (см. в Руководство Пользователя).
Запросы должны быть организованы в виде пар «ключ:значение». Основной формат ввода состоит из пары, где ключ и значение разделены символом «:» без использования пробелов. Ключ представляет собой поле события. Значение представляет собой данные, соответствующие ключу. Значения могут быть представлены или в кавычках «" "», или без них.
Для получения выборки по всей фразе необходимо заключать ее в кавычки, например, group_name:"Assets company1". Однако, если кавычки не используются group_name: Assets company1, то поиск будет производиться согласно синтаксису: group_name: Assets OR (group_name: Assets OR ip:company1), а не такому синтаксису: group_name: Assets AND group_name:company1.
Следует обратить внимание, что в поисковом запросе group_name:Assets company1, поиск company1 будет производиться по всем дефолтным полям. Все поля описываются в схеме (табл.8).
Таблица 8 – Схема полей для поиска на странице «Активы»
| Наименование для поиска | Наименование в пользовательском интерфейсе |
|---|---|
name | Наименование |
ip | IP-адрес |
system | Операционная система |
importance_name | Важность |
relevancy_notification_period | Срок актуальности данных |
first_connection_at | Дата первого подключения |
last_connection_at | Дата последнего подключения |
groupe_name | Наименование группы |
Для комбинирования нескольких условий используются операторы (табл. 9), которые являются регистронезависимыми.
| Текстовый оператор | Символ | Описание | Синтаксис |
|---|---|---|---|
OR | () | Логическое ИЛИ. Используется для объединения условий, где достаточно выполнения хотя бы одного из них. | source_ipv4:"192.168.10.1" OR name:"Incident 1" |
AND | + | Логическое И. Используется для объединения условий, требующих одновременного выполнения. При этом оператор «AND» обладает приоритетом. Таким образом, оператор «+» помечает обязательные для выборки поля, остальные поля могут быть использованы для уточнения выборки. | source_ipv4:"192.168.10.1" AND name:"Incident 1" OR name:"Abnormal activity" эквивалентен запросу: (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) OR name:"Abnormal activity" source_ipv4:"192.168.10.1" + name:"Incident 1" |
- | Логическое НЕ. Используется для исключения определенных условий. Обратить внимание, что запрос с символом "-" следует писать без пробелов. | source_ipv4:"192.168.10.1" - name:"Incident 1" | |
() | Используется для группировки операторов. | (source_ipv4:"192.168.10.1" AND name:"Incident 1" ) AND name:"Abnormal activity" | |
[] | Используется для поиска по заданному диапазону, включая граничные значения | created_at:[2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00] | |
{} | Используется для поиска по заданному диапазону, исключая граничные значения | created_at:{2025-11-15T11:03:54.139462+03:00 TO 2025-11-16T11:03:54.139462+03:00} | |
IN | Используется для объединения условий, где достаточно выполнения хотя бы одного из них. Способ заменить множество условий с оператором OR. | name: IN [test 1, test 2, test 3] | |
* | Используется для поиска по всем полям. | * -source_ipv4:"1.1.1.1" | |
~ | Используется для поиска по неточной фразе, позволяет установить соответствующее расстояние фразы в словах. | description: "тест русском" ~1 |
При необходимости использования кавычек как часть поискового запроса следует использовать специальный синтаксис при помощи символа «\»:
Block of code
group_name:"Assets of company \"Name\" is inactive"
Пример валидного запроса. Отфильтровать агенты по условию: показать все инциденты со значимостью «Средняя»:
Block of code
importance_name:"Medium"
Пример невалидного запроса. Отфильтровать агенты по условию: найти актив с наименованием «test name 2». Запрос является невалидным, так как значение находится в одинарных кавычках, необходимо использовать двойные кавычки.
Block of code
name:'test name 2