После получения списка событий часто возникает потребность разделить полученные события по группам, чтобы локализовать событие информационной безопасности. В KUMA есть возможность сгруппировать события по одному или нескольким полям для полученного списка событий.
Чтобы сгруппировать события, теперь не нужно вручную корректировать текст запроса - можно в разделе События нажать на поле и в контекстном меню выбрать Добавить GROUP BY в запрос. Вы можете выбрать последовательно несколько полей для группировки, поля будут автоматически добавлены в строку запроса. После того как вы выбрали нужные поля, нажмите Выполнить запрос. В результате будет выполнена группировка событий по заданным полям. Найденные группы будут отображаться в разделе Группы. Отображение доступно в виде таблицы и в виде карточек. Вы можете переключаться между режимами отображения.
Можно исключить группу из поиска:
В результате запрос автоматически изменится и группа будет исключена из поиска.
Если вы хотите вернуться к исходному запросу, нажмите Вернуться к исходному запросу.
По группам можно переходить и просматривать содержимое каждой группы.
Можно усложнить группировку и добавить одно или несколько полей.
Можно удалить группу из группировки и таким образом вернуться на шаг назад.
Если запрос по группе возвращает много событий, будут отображаться только первые 1000 событий. Если в запросе содержится SELECT Count(ID), можно перейти по ссылке, которой является общее количество событий в результате запроса, и посмотреть все события. Если запрос не содержит Count(ID), количество событий в группе указано не будет, но сохраняется возможность перейти по ссылке и посмотреть общее количество событий в группе.
Доступна статистика, рестроспективная проверка по группам и Экспорт в TSV.
Если вы хотите, чтобы результат группировки не зависел от времени – поскольку события поступают постоянно - вы можете зафиксировать относительный интервал и применить его как абсолютный, чтобы интересующие вас события не выпали из выборки. Чтобы зафиксировать относительный интервал, в разделе События в раскрывающемся списке с временным интервалом выберите Применить текущий диапазон. Теперь вы можете работать с группами в рамках этого запроса.
Если вы хотите распределить выбранные события по месяцам, дням, минутам и секундам, вы можете выполнить группировку событий по полю Timestamp. Чтобы выполнить группировку, в таблице событий в поле Timestamp в контекстном меню выберите нужную опцию группировки.
Если вы хотите нормализовать значение поля Timestamp и смотреть время из разных источников по одной шкале времени UTC, в таблице событий в поле Timestamp в контекстном меню выберите Конвертировать в UTC.
В начало