В данной статье описана работа с событиями: как просматривать и фильтровать события, а также сохранять запросы фильтрации.

Раздел События позволяет формировать запрос на выборку Событий. Для перехода в раздел «События» нажмите на События в левом боковом меню на главной странице.

На данной странице отображаются все зарегистрированные в Системе события. Здесь вы можете просмотреть список событий, отфильтровать и экспортировать события.

Конфигурация отображения таблицы

Вы можете сконфигурировать отображение таблицы событий. Для этого нажмите на иконку шестеренки в правом верхнем углу таблицы:

В выпадающем меню вы можете настроить следующие параметры:

• Вид — формат отображения таблицы событий. Доступные значения: Таблица и Карточки;
• Высота строки — высота строк в таблице событий. Доступные значения: Компактная, Нормальная и Расширенная;
• Автоматическое определение синтаксиса SQL — данная строка активирует/деактивирует автоматическое определение синтаксиса SQL в содержимом событий.

Также вы можете развернуть таблицу в режим полноэкранного отображения. Для этого нажмите на иконку рамок в правом верхнем углу таблиц:

Просмотр событий

Все события отображаются в виде списка в таблице. Для того, чтобы просмотреть подробную информацию о событии, нажмите на событие. Дополнительная информация откроется в правом сайдбаре.

Для быстрого переключения между событиями нажмите на иконки стрелочек в правом верхнем углу сайдбара. Переключатель Пустые события активирует/деактивирует отображение колонок с пустыми значениями.

Фильтрация событий

Для того, чтобы отфильтровать события, можно использовать следующие инструменты:

• Определение временных рамок;
• Фильтры;
• Поле ввода SQL-запроса;
• Дополнение фильтра из события;
• Конструктор SQL.

Определение временных рамок

Для того, чтобы отфильтровать список событий по времени их регистрации, нажмите Выберите диапазон справа от конструктора SQL. Во всплывающем окне вы можете ввести диапазон дат и времени вручную, либо выбрать одно из предустановленных значений.

После того как вы выбрали временной диапазон, нажмите Обновить, чтобы обновить список событий.

Фильтры

Для работы с условиями можно использовать функционал фильтров таблицы. Для этого нажмите Фильтры в левом верхнем углу таблицы.

После этого откроется список всех примененных к таблице фильтров. Для того, чтобы добавить условие, нажмите + Условие и заполните всю необходимую информацию:

• Поле — поле в базе данных, по которому будет выполняться фильтрация;
• Оператор — выбор оператор для фильтрации. Возможные значения И и ИЛИ;
• Значение — значение, по которому будет выполняться фильтрация.

Нажмите Применить для сохранения фильтра, затем обновите список событий, нажав Обновить.

Групповые фильтры

Вы также можете добавить группу для условий. Для этого в окне выбора фильтров нажмите Группа.

Условия, сформированные в группы, можно использовать для построения сложных выборок с использованием операторов И и ИЛИ.\

Чтобы изменить конфигурацию группы или подгруппы фильтров, наведите курсор на три точки справа от ее имени и нажмите на одну из иконок:

• Иконка карандаша — отредактировать имя группы/подгруппы;
• + — добавить условие;
• Иконка ветки — добавить подгруппу;
• Иконка корзины — удалить группу/подгруппу.

Нажмите Применить для сохранения фильтра, затем обновите список событий, нажав Обновить.

Поле ввода SQL-запроса

При необходимости, вы можете ввести SQL-запрос вручную. Для этого нажмите на поле ввода SQL-запроса и отредактируйте его содержимое под свои нужды.

При вводе SQL-запроса необходимо соблюдать следующие правила:

1. Следует использовать только запрос SELECT. Попытка обновить таблицу с любым другим запросом приведет к ошибке.
2. В запросе нельзя указывать параметр пагинации OFFSET.
3. Наименование полей необходимо указывать в апострофах, например `event.type`.

Дополнение фильтра из события

При расследовании событий безопасности может появиться необходимость дополнить фильтр новыми данными, полученными из других событий. Для того, чтобы это сделать, откройте интересующее вас событие.

В правой части страницы откроется модальное окно с подробной информацией о событии. Нажмите на три точки справа от колонки и значения которые вы хотите добавить в фильтр и выберите оператор.

После того как вы дополнили фильтр, нажмите Обновить, чтобы обновить список событий.

Сортировка таблицы

Для упрощения навигации по списку, вы можете выбрать список и порядок отображаемых колонок. Для этого нажмите Колонки в левом верхнем углу таблицы. Используйте переключатель слева от имени поля, для того, чтобы включить или выключить отображение колонки в таблице. По умолчанию выбраны первые 8 полей.

Для того, чтобы изменить порядок отображения колонок, наведите курсор на иконку сортировки справа от имени колонки, зажмите левую кнопку мыши и перенесите элемент в необходимое место.

Также вы можете отсортировать список с помощью колонок, содержащих значения в формате даты. Для этого в таблице нажмите на три точки справа от имени колонки и выпадающем списке выберите порядок сортировки.

Экспорт событий

Для того, чтобы экспортировать отфильтрованный список событий нажмите на иконку загрузки в правом верхнем углу таблицы и выберите в выпадающем меню формат файла:

Сохранение запросов

Для удобства ежедневного использования вы можете сохранить ваши запросы и фильтры. Для этого нажмите на иконку дискеты в правом верхнем углу страницы, затем в выпадающем меню нажмите + Добавить, введите имя запроса и нажмите Сохранить.

Для того, чтобы отфильтровать список событий по ранее сохраненным параметрам, нажмите на иконку дискеты в правом верхнем углу страницы, затем в выпадающем меню выберите ранее сохраненный запрос.