- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.6 Группировка событий
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.6 Группировка событий
10.6 Группировка событий
На странице "События" доступна функция группировки событий по одному или нескольким полям.
Настроить группировку можно двумя способами:
- через правую боковую панель;
- с помощью модального окна "Группировка".
Оба способа взаимосвязаны: настройки группировки синхронизируются между интерфейсами. Поля, выбранные в правой панели, автоматически отображаются в модальном окне, и наоборот.
Для группировки событий через правую боковую панель необходимо выбрать одно или несколько полей из отображаемого списка. Максимальное количество полей для группировки – 10. При достижении лимита возможность выбора дополнительных полей блокируется.
После выбора поле автоматически добавляется в область "Группы" на левой панели (рис. 18).
Выбранное поле остается подсвеченным в правой панели и становится недоступным для повторного выбора.
Следует обратить внимание на поля, по которым невозможно выполнить группировку: full_log, event_id, timestamp, previous_output. Система позволяет сбросить как отдельное поле, так и всю настройку группировки целиком.
Для сброса отдельного поля необходимо в области "Группы" (левая панель) навести курсор на поле, которое нужно удалить. Далее нажать на появившуюся рядом с полем кнопку "❌︎".
В случае если необходимо отменить всю группировку на странице, следует воспользоваться кнопкой "🗑".
Для настройки группировки событий с помощью модального окна необходимо выполнить следующие действия:
- открыть модальное окно, нажав кнопку инструментов (рис. 19), нажав кнопку "Группировка" на панели инструментов;
- выбрать поля для группировки, кликнув в поле и выбрав необходимое значение из выпадающего списка (по умолчанию отображаются 3 поля для выбора). Для поиска значения следует ввести его название в поисковую строку выпадающего списка (рис. 20);
- добавить дополнительные поля (при необходимости), нажав кнопку "Добавить поле" после заполнения трех полей;
- удалить или очистить поле, нажав кнопку "🗑" (доступна для всех заполненных полей) (рис. 21). Кнопка "🗑" имеет две функции: для первых трех полей – это очистка поля, начиная с четвертого поля – это удаление поля из модального окна;
- сохранить настройки, нажав кнопку "Сохранить", которая активна при заполнении хотя бы одного поля. Как результат, модальное окно закроется, выбранная группировка отобразится в области "Группы" на левой панели, а поля, добавленные в группировку, автоматически подсветятся в правой боковой панели;
- отменить изменения, нажав на кнопку "Отменить" или кликнув вне модального окна. В результате чего модальное окно закроется без сохранения изменений;
- сбросить всю группировку, нажав кнопку "Очистить все". Как результат, все поля будут очищены, группировка удалена.
При переходе между страницами группировка сохраняется.
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.6 Группировка событий
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с событиями
- 10.6 Группировка событий
10.6 Группировка событий
На странице "События" доступна функция группировки событий по одному или нескольким полям.
Настроить группировку можно двумя способами:
- через правую боковую панель;
- с помощью модального окна "Группировка".
Оба способа взаимосвязаны: настройки группировки синхронизируются между интерфейсами. Поля, выбранные в правой панели, автоматически отображаются в модальном окне, и наоборот.
Для группировки событий через правую боковую панель необходимо выбрать одно или несколько полей из отображаемого списка. Максимальное количество полей для группировки – 10. При достижении лимита возможность выбора дополнительных полей блокируется.
После выбора поле автоматически добавляется в область "Группы" на левой панели (рис. 18).
Выбранное поле остается подсвеченным в правой панели и становится недоступным для повторного выбора.
Следует обратить внимание на поля, по которым невозможно выполнить группировку: full_log, event_id, timestamp, previous_output. Система позволяет сбросить как отдельное поле, так и всю настройку группировки целиком.
Для сброса отдельного поля необходимо в области "Группы" (левая панель) навести курсор на поле, которое нужно удалить. Далее нажать на появившуюся рядом с полем кнопку "❌︎".
В случае если необходимо отменить всю группировку на странице, следует воспользоваться кнопкой "🗑".
Для настройки группировки событий с помощью модального окна необходимо выполнить следующие действия:
- открыть модальное окно, нажав кнопку инструментов (рис. 19), нажав кнопку "Группировка" на панели инструментов;
- выбрать поля для группировки, кликнув в поле и выбрав необходимое значение из выпадающего списка (по умолчанию отображаются 3 поля для выбора). Для поиска значения следует ввести его название в поисковую строку выпадающего списка (рис. 20);
- добавить дополнительные поля (при необходимости), нажав кнопку "Добавить поле" после заполнения трех полей;
- удалить или очистить поле, нажав кнопку "🗑" (доступна для всех заполненных полей) (рис. 21). Кнопка "🗑" имеет две функции: для первых трех полей – это очистка поля, начиная с четвертого поля – это удаление поля из модального окна;
- сохранить настройки, нажав кнопку "Сохранить", которая активна при заполнении хотя бы одного поля. Как результат, модальное окно закроется, выбранная группировка отобразится в области "Группы" на левой панели, а поля, добавленные в группировку, автоматически подсветятся в правой боковой панели;
- отменить изменения, нажав на кнопку "Отменить" или кликнув вне модального окна. В результате чего модальное окно закроется без сохранения изменений;
- сбросить всю группировку, нажав кнопку "Очистить все". Как результат, все поля будут очищены, группировка удалена.
При переходе между страницами группировка сохраняется.