- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.3 Фильтрация данных на странице "События"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.3 Фильтрация данных на странице "События"
10.3 Фильтрация данных на странице "События"
По умолчанию отображаемые данные в таблице отсортированы от новых к более старым записям. При необходимости, можно отфильтровать информацию по определенному временному периоду. Для этого необходимо нажать на кнопку «Календарь», после чего откроется окно с возможностью выбора временного интервала (рис. 15). Закрыть фильтр также можно путем нажатия на любую область вне.
Для применения выбранных параметров необходимо нажать на кнопку «Применить фильтр» в окне. В свою очередь, при нажатии на кнопку «Сбросить фильтр» происходит очистка выбранных параметров. Данные в таблице по умолчанию показаны за последний час.
Также можно сортировать события в таблице при нажатии на наименование поля. При первом нажатии будет произведена сортировка по возрастанию, а при повторном нажатии меняется на противоположную.
Процесс фильтрации может быть осуществлен одновременно по периоду и по поисковым запросам.
Для обновления данных в таблице необходимо нажать на кнопку "Обновить" . Для настройки периода автоматического обновления данных следует нажать "Меню", в открывшемся списке выбрать вариант «Автоматическое обновление» и настроить временной интервал (по умолчанию – пятнадцать минут).
Для фильтрации событий по определенным критериям можно использовать поисковую строку и язык запросов (см. Руководство по созданию запросов).
Для удобства ввода запросов в строке поиска предусмотрена функция подсказок. Система предлагает два типа подсказок:
- подсказки по (полям) ключам;
- подсказки по логическим операторам.
Подсказки по ключам содержат названия доступных полей для поиска, (например, rule_level, rule_id, rule_groups). Список полей соответствует настройкам отображения таблицы на странице «События» (за исключением поля full_log).
Подсказки по логическим операторам содержат операторы AND, OR, NOT для построения сложных поисковых запросов.
Подсказки отображаются в виде выпадающего списка с возможностью прокрутки. Выбор осуществляется стрелками "⇅" и клавишей Enter или кликом мыши по необходимому элементу.
В поисковой строке доступна кнопка "?" (по умолчанию активна), которая позволяет:
- временно отключить отображение подсказок;
- включить подсказки обратно.
Состояние кнопки (включено/ выключено) сохраняется при переходе между страницами.
Информация о событии в правой части рабочей области разделена по полям (например, location, dst_ip и т.п.), при нажатии на значение которых появляется выбор оператора (OR, AND или NOT), который, соответственно, будет добавлен в поисковую строку для быстрой навигации по событиям (рис. 16). А для поля корреляции rule_id, decoder_name предусмотрена возможность просмотра правила, по которому было обработано событие.
В свою очередь поля событий распределены по категориям: параметры корреляции, информационные поля, дополнительная информация, точка сбора, служебные данные.
Следует обратить внимание, что поле full_log можно скопировать. Для этого следует навести курсор мыши на данное поле и нажать на элемент "Копировать".
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.3 Фильтрация данных на странице "События"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.3 Фильтрация данных на странице "События"
10.3 Фильтрация данных на странице "События"
По умолчанию отображаемые данные в таблице отсортированы от новых к более старым записям. При необходимости, можно отфильтровать информацию по определенному временному периоду. Для этого необходимо нажать на кнопку «Календарь», после чего откроется окно с возможностью выбора временного интервала (рис. 15). Закрыть фильтр также можно путем нажатия на любую область вне.
Для применения выбранных параметров необходимо нажать на кнопку «Применить фильтр» в окне. В свою очередь, при нажатии на кнопку «Сбросить фильтр» происходит очистка выбранных параметров. Данные в таблице по умолчанию показаны за последний час.
Также можно сортировать события в таблице при нажатии на наименование поля. При первом нажатии будет произведена сортировка по возрастанию, а при повторном нажатии меняется на противоположную.
Процесс фильтрации может быть осуществлен одновременно по периоду и по поисковым запросам.
Для обновления данных в таблице необходимо нажать на кнопку "Обновить" . Для настройки периода автоматического обновления данных следует нажать "Меню", в открывшемся списке выбрать вариант «Автоматическое обновление» и настроить временной интервал (по умолчанию – пятнадцать минут).
Для фильтрации событий по определенным критериям можно использовать поисковую строку и язык запросов (см. Руководство по созданию запросов).
Для удобства ввода запросов в строке поиска предусмотрена функция подсказок. Система предлагает два типа подсказок:
- подсказки по (полям) ключам;
- подсказки по логическим операторам.
Подсказки по ключам содержат названия доступных полей для поиска, (например, rule_level, rule_id, rule_groups). Список полей соответствует настройкам отображения таблицы на странице «События» (за исключением поля full_log).
Подсказки по логическим операторам содержат операторы AND, OR, NOT для построения сложных поисковых запросов.
Подсказки отображаются в виде выпадающего списка с возможностью прокрутки. Выбор осуществляется стрелками "⇅" и клавишей Enter или кликом мыши по необходимому элементу.
В поисковой строке доступна кнопка "?" (по умолчанию активна), которая позволяет:
- временно отключить отображение подсказок;
- включить подсказки обратно.
Состояние кнопки (включено/ выключено) сохраняется при переходе между страницами.
Информация о событии в правой части рабочей области разделена по полям (например, location, dst_ip и т.п.), при нажатии на значение которых появляется выбор оператора (OR, AND или NOT), который, соответственно, будет добавлен в поисковую строку для быстрой навигации по событиям (рис. 16). А для поля корреляции rule_id, decoder_name предусмотрена возможность просмотра правила, по которому было обработано событие.
В свою очередь поля событий распределены по категориям: параметры корреляции, информационные поля, дополнительная информация, точка сбора, служебные данные.
Следует обратить внимание, что поле full_log можно скопировать. Для этого следует навести курсор мыши на данное поле и нажать на элемент "Копировать".