В данной статье описана работа с событиями: как просматривать и фильтровать события, а также сохранять запросы фильтрации.
Раздел События позволяет формировать запрос на выборку Событий. Для перехода в раздел «События» нажмите на События в левом боковом меню на главной странице.
.png)
На данной странице отображаются все зарегистрированные в Системе события. Здесь вы можете просмотреть список событий, отфильтровать и экспортировать события.
Конфигурация отображения таблицы
Вы можете сконфигурировать отображение таблицы событий. Для этого нажмите на иконку шестеренки в правом верхнем углу таблицы:
.png)
В выпадающем меню вы можете настроить следующие параметры:
- Вид — формат отображения таблицы событий. Доступные значения: Таблица и Карточки;
- Высота строки — высота строк в таблице событий. Доступные значения: Компактная, Нормальная и Расширенная;
- Автоматическое определение синтаксиса SQL — данная строка активирует/деактивирует автоматическое определение синтаксиса SQL в содержимом событий.
Также вы можете развернуть таблицу в режим полноэкранного отображения. Для этого нажмите на иконку рамок в правом верхнем углу таблиц:
.png)
Просмотр событий
Все события отображаются в виде списка в таблице. Для того, чтобы просмотреть подробную информацию о событии, нажмите на событие. Дополнительная информация откроется в правом сайдбаре.
.png)
Для быстрого переключения между событиями нажмите на иконки стрелочек в правом верхнем углу сайдбара. Переключатель Пустые события активирует/деактивирует отображение колонок с пустыми значениями.
Фильтрация событий
Для того, чтобы отфильтровать события, можно использовать следующие инструменты:
- Определение временных рамок;
- Фильтры;
- Поле ввода SQL-запроса;
- Дополнение фильтра из события;
- Конструктор SQL.
Определение временных рамок
Для того, чтобы отфильтровать список событий по времени их регистрации, нажмите Выберите диапазон справа от конструктора SQL. Во всплывающем окне вы можете ввести диапазон дат и времени вручную, либо выбрать одно из предустановленных значений.
.png)
После того как вы выбрали временной диапазон, нажмите Обновить, чтобы обновить список событий.
Фильтры
Для работы с условиями можно использовать функционал фильтров таблицы. Для этого нажмите Фильтры в левом верхнем углу таблицы.
.png)
После этого откроется список всех примененных к таблице фильтров. Для того, чтобы добавить условие, нажмите + Условие и заполните всю необходимую информацию:
- Поле — поле в базе данных, по которому будет выполняться фильтрация;
- Оператор — выбор оператор для фильтрации. Возможные значения И и ИЛИ;
- Значение — значение, по которому будет выполняться фильтрация.
Нажмите Применить для сохранения фильтра, затем обновите список событий, нажав Обновить.
Групповые фильтры
Вы также можете добавить группу для условий. Для этого в окне выбора фильтров нажмите Группа.
.png)
Условия, сформированные в группы, можно использовать для построения сложных выборок с использованием операторов И и ИЛИ.\
.png)
Чтобы изменить конфигурацию группы или подгруппы фильтров, наведите курсор на три точки справа от ее имени и нажмите на одну из иконок:
- Иконка карандаша — отредактировать имя группы/подгруппы;
- + — добавить условие;
- Иконка ветки — добавить подгруппу;
- Иконка корзины — удалить группу/подгруппу.
Нажмите Применить для сохранения фильтра, затем обновите список событий, нажав Обновить.
Поле ввода SQL-запроса
При необходимости, вы можете ввести SQL-запрос вручную. Для этого нажмите на поле ввода SQL-запроса и отредактируйте его содержимое под свои нужды.
.png)
При вводе SQL-запроса необходимо соблюдать следующие правила:
- Следует использовать только запрос SELECT. Попытка обновить таблицу с любым другим запросом приведет к ошибке.
- В запросе нельзя указывать параметр пагинации OFFSET.
- Наименование полей необходимо указывать в апострофах, например `event.type`.
Дополнение фильтра из события
При расследовании событий безопасности может появиться необходимость дополнить фильтр новыми данными, полученными из других событий. Для того, чтобы это сделать, откройте интересующее вас событие.
.png)
В правой части страницы откроется модальное окно с подробной информацией о событии. Нажмите на три точки справа от колонки и значения которые вы хотите добавить в фильтр и выберите оператор.
После того как вы дополнили фильтр, нажмите Обновить, чтобы обновить список событий.
Сортировка таблицы
Для упрощения навигации по списку, вы можете выбрать список и порядок отображаемых колонок. Для этого нажмите Колонки в левом верхнем углу таблицы. Используйте переключатель слева от имени поля, для того, чтобы включить или выключить отображение колонки в таблице. По умолчанию выбраны первые 8 полей.
Для того, чтобы изменить порядок отображения колонок, наведите курсор на иконку сортировки справа от имени колонки, зажмите левую кнопку мыши и перенесите элемент в необходимое место.
.png)
Также вы можете отсортировать список с помощью колонок, содержащих значения в формате даты. Для этого в таблице нажмите на три точки справа от имени колонки и выпадающем списке выберите порядок сортировки.
Любые изменения, которые вы вносите в любом из инструментов, будут применены в каждой из областей.
Экспорт событий
Для того, чтобы экспортировать отфильтрованный список событий нажмите на иконку загрузки в правом верхнем углу таблицы и выберите в выпадающем меню формат файла:
.png)
- Вы можете экспортировать не более 1 миллиона событий за раз;
- Экспортируемый файл не может превышать 1ГБ.
Сохранение запросов
Для удобства ежедневного использования вы можете сохранить ваши запросы и фильтры. Для этого нажмите на иконку дискеты в правом верхнем углу страницы, затем в выпадающем меню нажмите + Добавить, введите имя запроса и нажмите Сохранить.
.png)
Для того, чтобы отфильтровать список событий по ранее сохраненным параметрам, нажмите на иконку дискеты в правом верхнем углу страницы, затем в выпадающем меню выберите ранее сохраненный запрос.