- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 9. Работа с событиями
- 9.3 Фильтрация данных на странице "События"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 9. Работа с событиями
- 9.3 Фильтрация данных на странице "События"
9.3 Фильтрация данных на странице "События"
По умолчанию отображаемые данные в таблице отсортированы от новых к более старым записям. При необходимости, можно отфильтровать информацию по определенному временному периоду. Для этого необходимо нажать на кнопку «Календарь», после чего откроется окно с возможностью выбора временного интервала (рис. 15). Закрыть фильтр также можно путем нажатия на любую область вне.
Для применения выбранных параметров необходимо нажать на кнопку «Применить фильтр» в окне. В свою очередь, при нажатии на кнопку «Сбросить фильтр» происходит очистка выбранных параметров. Данные в таблице по умолчанию показаны за последний час.
Также можно сортировать события в таблице при нажатии на наименование поля. При первом нажатии будет произведена сортировка по возрастанию, а при повторном нажатии меняется на противоположную.
Процесс фильтрации может быть осуществлен одновременно по периоду и по поисковым запросам.
Для обновления данных в таблице необходимо нажать на кнопку "Обновить" . Для настройки периода автоматического обновления данных следует нажать "Меню", в открывшемся списке выбрать вариант «Автоматическое обновление» и настроить временной интервал (по умолчанию – пятнадцать минут).
Для фильтрации событий по определенным критериям можно использовать поисковую строку и язык запросов (см. Руководство по созданию запросов).
Информация о событии в правой части рабочей области разделена по полям (например, location, dst_ip и т.п.), при нажатии на значение которых появляется выбор оператора (OR, AND или NOT), который, соответственно, будет добавлен в поисковую строку для быстрой навигации по событиям (рис. 16). А для поля корреляции rule_id, decoder_name предусмотрена возможность просмотра правила, по которому было обработано событие.
В свою очередь поля событий распределены по категориям: параметры корреляции, информационные поля, дополнительная информация, точка сбора, служебные данные.
Следует обратить внимание, что поле full_log можно скопировать. Для этого следует навести курсор мыши на данное поле и нажать на элемент "Копировать".
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 9. Работа с событиями
- 9.3 Фильтрация данных на странице "События"
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 9. Работа с событиями
- 9.3 Фильтрация данных на странице "События"
9.3 Фильтрация данных на странице "События"
По умолчанию отображаемые данные в таблице отсортированы от новых к более старым записям. При необходимости, можно отфильтровать информацию по определенному временному периоду. Для этого необходимо нажать на кнопку «Календарь», после чего откроется окно с возможностью выбора временного интервала (рис. 15). Закрыть фильтр также можно путем нажатия на любую область вне.
Для применения выбранных параметров необходимо нажать на кнопку «Применить фильтр» в окне. В свою очередь, при нажатии на кнопку «Сбросить фильтр» происходит очистка выбранных параметров. Данные в таблице по умолчанию показаны за последний час.
Также можно сортировать события в таблице при нажатии на наименование поля. При первом нажатии будет произведена сортировка по возрастанию, а при повторном нажатии меняется на противоположную.
Процесс фильтрации может быть осуществлен одновременно по периоду и по поисковым запросам.
Для обновления данных в таблице необходимо нажать на кнопку "Обновить" . Для настройки периода автоматического обновления данных следует нажать "Меню", в открывшемся списке выбрать вариант «Автоматическое обновление» и настроить временной интервал (по умолчанию – пятнадцать минут).
Для фильтрации событий по определенным критериям можно использовать поисковую строку и язык запросов (см. Руководство по созданию запросов).
Информация о событии в правой части рабочей области разделена по полям (например, location, dst_ip и т.п.), при нажатии на значение которых появляется выбор оператора (OR, AND или NOT), который, соответственно, будет добавлен в поисковую строку для быстрой навигации по событиям (рис. 16). А для поля корреляции rule_id, decoder_name предусмотрена возможность просмотра правила, по которому было обработано событие.
В свою очередь поля событий распределены по категориям: параметры корреляции, информационные поля, дополнительная информация, точка сбора, служебные данные.
Следует обратить внимание, что поле full_log можно скопировать. Для этого следует навести курсор мыши на данное поле и нажать на элемент "Копировать".