Фильтрация и поиск событий

По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку Выполнить запрос. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.

В SQL-запросах поддерживается агрегирование и группировка данных.

Вы можете осуществлять поиск событий по нескольким хранилищам. Например, таким образом вы можете выполнять поиск событий, чтобы определить, где учетная запись блокируется, или на какой URL с каких IP-адресов был выполнен вход. Пример запроса для поиска событий заблокированной учетной записи:

SELECT * FROM `events` WHERE DestinationUserName = 'username' AND DeviceEventClassID = '4625' LIMIT 250

Чтобы выполнить поиск событий по нескольким хранилищам, в разделе События в раскрывающемся списке в верхней правой части раздела установите флажки рядом с нужными хранилищами.

В списке отображаются следующие хранилища:

• Хранилища тенанта Main.
• Доступные хранилища тенантов, для которых выполняется одно из следующих условий:
  • Тенант, которому принадлежит хранилище, включен в фильтре тенантов и у пользователя есть права на чтение событий в этом тенанте.
  • У пользователя есть доступ к тенанту одной из партиции хранилища и права на чтение событий в этом тенанте.

    Например, если у вас есть доступ к тенанту коллектора, но нет доступа к тенанту хранилища, по умолчанию хранилище недоступного тенанта не отображается в списке доступных хранилищ. Если в коллектор доступного вам тенанта добавлена точка назначения в хранилище недоступного вам тенанта, после того как в партицию тенанта коллектора поступило событие, хранилище недоступного тенанта появится в списке хранилищ в разделе События.

В поле раскрывающего списка хранилищ в верхней правой части раздела События отображается название первого из выбранных хранилищ и количество выбранных хранилищ, их несколько. Вы можете навести курсор мыши на поле раскрывающегося списка, чтобы отобразить все выбранные хранилища. Если пространство в хранилище удалено, в раскрывающемся списке хранилищ отображается deleted<идентификатор удаленного пространства>, события доступны для поиска в течение срока TTL.

Тенанты, выбранные в фильтре тенантов, влияют на то, какие хранилища отображаются в раскрывающемся списке хранилищ. Если в фильтре тенантов вы выключите тенанты, хранилища которых вам доступны, эти хранилища не будут отображаться в раскрывающемся списке хранилищ. Если эти хранилища были выбраны в раскрывающемся списке хранилищ, флажки напротив них будут сняты и события из этих хранилищ не будут отображаться. Если в раскрывающемся списке хранилищ выбрано только одно хранилище не из Main тенанта и в выборе тенантов вы выключили тенант, к которому принадлежит выбранное хранилище, это хранилище не будет отображаться в списке хранилищ и KUMA автоматически изменит выбор на одно из хранилищ тенанта Main.

Допускается простой запрос по всем выбранным хранилищам, как в примере выше. Если при выполнении запроса недоступно хотя бы одно из выбранных хранилищ, KUMA вернет ошибку.

Ограничения для поиска событий по нескольким хранилищам:

• При выполнении запроса к нескольким хранилищам недоступен экспорт в TSV, ретроспективная проверка и запросы REST API.
• В SELECT могут быть только * и/или названия полей события. Алиасы, функции, выражения не допускаются.
• В ORDER BY могут быть также только поля события (без функций, констант или выражений). Если такого поля нет в списке полей SELECT, то поле будет добавляться автоматически при отправке на конкретный кластер. ORDER BY ClusterID задать невозможно.
• GROUP BY недоступно.

Сложные запросы с группировками и агрегацией допускаются для одного выбранного хранилища.

Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:

• Изменение запроса из окна статистики

  Чтобы изменить параметры фильтрации из окна Статистика:

  1. Откройте область деталей Статистика одним из следующих способов:
     • В правом верхнем углу таблицы событий в раскрывающемся списке выберите Статистика.
     • В таблице событий нажмите на любое значение и в открывшемся контекстном меню выберите Статистика.

     В правой части окна откроется область деталей Статистика.

  2. Откройте раскрывающийся список необходимого параметра и наведите курсор мыши на требуемое значение.
  3. С помощью значков плюса и минуса измените параметры фильтрации, выполнив одно из следующих действий:
     • Если вы хотите включить в выборку событий только события с выбранным значением, нажмите .
     • Если вы хотите исключить из выборки событий все события с выбранным значением, нажмите .

  В результате параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

• Изменение запроса из таблицы событий

  Чтобы изменить параметры фильтрации из таблицы событий:

  1. В разделе События веб-интерфейса KUMA нажмите на любое значение параметра события в таблице событий.
  2. В открывшемся меню выберите один из следующих вариантов:
     • Если вы хотите оставить в таблице только события с выбранным значением, выберите Искать события с этим значением.
     • Если вы хотите исключить из таблицы все события с выбранным значением, выберите Искать события без этого значения.

  В результате параметры фильтрации и таблица событий обновляются, а в верхней части экрана отображается измененный поисковый запрос.

• Изменение запроса из области деталей события

  Чтобы изменить параметры фильтрации в области деталей события:

  1. В веб-интерфейсе KUMA в разделе События нажмите на нужное событие.

     В правой части окна откроется область деталей Информация о событии.

  2. Измените параметры фильтрации, используя значки плюса или минуса:
     • Если вы хотите применить фильтр сразу и обновить таблицу событий, нажмите или рядом с нужными параметрами.
     • Если вы хотите продолжить изменение параметров фильтрации, удерживая клавишу Ctrl, нажмите или . В этом случае условие добавляется в тело запроса, но запрос не выполняется автоматически.

       При добавлении условия в запрос, в секцию WHERE добавляется выражение по выбранному параметру. При добавлении условий для нескольких параметров, выражения соединяются оператором AND. В секцию SELECT добавляется поле, по которому выполняется фильтрация, только в том случае, если в запросе не используется символ *.

       Пример: Исходный запрос: SELECT * FROM `events` ORDER BY Timestamp DESC LIMIT 250 Все события выбираются без фильтров, последние 250 событий отображаются в порядке убывания по полю Timestamp. При добавлении новых условий с помощью комбинации клавиши Ctrl и значка запрос выглядит следующим образом: SELECT * FROM `events` WHERE DeviceProduct = 'Windows' AND StartTime = 1755767943436 ORDER BY Timestamp DESC LIMIT 250 Условия добавлены в секцию WHERE с оператором AND. В секцию SELECT поля не добавляются, так как в этой секции используется символ *.При этом запрос не выполняется автоматически.

  3. После того как вы добавите все необходимые условия фильтрации, выполните запрос одним из следующих способов:
     • Добавьте последнее условие, не удерживая клавишу Ctrl. Запрос выполнится автоматически.
     • Закройте область деталей события и выполните запрос вручную, нажав на кнопку Выполнить запрос или используя комбинацию клавиш Ctrl+Enter.

  Параметры фильтрации и таблица событий будут обновлены, а в верхней части экрана отобразится измененный поисковый запрос.

После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.

Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить запрос в окне конструктора.

В поле ввода SQL-запроса можно включить отображение непечатаемых символов.

События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.

Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.

Функции фильтрации доступны пользователям всех ролей.

При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.

Подробнее об SQL см. в справке ClickHouse. Также об SQL-операторах и функциях, поддерживаемых в KUMA, см. использование операторов в KUMA и поддерживаемые функции.

В этом разделе Выбор хранилища Формирование SQL-запроса с помощью конструктора Создание SQL-запроса вручную Сохранение истории запросов Работа с сохраненными поисковыми запросами Фильтрация событий по периоду Отображение списка событий при относительном и точном календарном периоде Группировка событий Отображение названий вместо идентификаторов Пресеты Ограничение сложности запросов в режиме расследования алерта Сохранение и выбор конфигураций фильтра событий Удаление конфигураций фильтра событий Поддерживаемые функции ClickHouse Просмотр информации о событии Экспорт событий Настройка таблицы событий Обновление таблицы событий Получение статистики по событиям в таблице Просмотр информации о корреляционном событии Формирование SQL-запроса с помощью SQL-функций KUMA

См. также: О событиях Хранилище

В начало