Фильтрация событий
По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку 
. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.
Вам нужно учитывать, что при переключении на конструктор параметры запроса, введенного вручную в строке поиска, не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить в окне конструктора.
В SQL-запросах поддерживается агрегирование и группировка данных.
SQL-запрос можно изменить на основе результатов поиска:
- Изменение запроса из окна статистики
Чтобы изменить параметры фильтрации из окна Статистика:
- Откройте область деталей Статистика одним из следующих способов:
- В правом верхнем углу таблицы событий в раскрывающемся списке
выберите Статистика. - В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.
В правой части окна откроется область деталей Статистика.
- Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
- С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
- Если вы хотите включить в выборку событий только события с выбранным значением, нажмите
. - Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите
.
В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.
- Изменение запроса из таблицы событий
Чтобы изменить параметры фильтрации из таблицы событий:
- В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
- В открывшемся меню выберите один из следующих вариантов:
- Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
- Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.
В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.
- Изменение запроса из области деталей события
Чтобы изменить параметры фильтрации в области деталей события:
- В разделе События веб-интерфейса KUMA нажмите на нужное событие.
В правой части окна откроется область деталей Информация о событии.
- Измените параметры фильтрации, используя значки плюса или минуса рядом с необходимыми параметрами:
- Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
- Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .
В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.
В поле ввода SQL-запроса можно включить отображение непечатаемых символов.
События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.
Настройки фильтра можно сохранить. Существующие настройки фильтров можно удалить.
Функции фильтрации доступны пользователям всех ролей.
После обновления KUMA до версии 1.6 при фильтрации событий с помощью SQL-запроса, содержащего условие inSubnet, может возвращаться ошибка Code: 441. DB::Exception: Invalid IPv4 value. В таких случаях необходимо на серверах хранилища (на каждой машине кластера ClickHouse) в файле /opt/kaspersky/kuma/clickhouse/cfg/config.d/users.xml в разделе profiles → default добавить директиву <cast_ipv4_ipv6_default_on_conversion_error>true</cast_ipv4_ipv6_default_on_conversion_error>.
Подробнее об SQL см. в справке ClickHouse. Также см. поддерживаемые KUMA SQL-функции и операторы.
В начало