Группировка событий

После получения списка событий часто возникает потребность разделить полученные события по группам, чтобы локализовать событие информационной безопасности. В KUMA есть возможность сгруппировать события по одному или нескольким полям для полученного списка событий.

Чтобы сгруппировать события, теперь не нужно вручную корректировать текст запроса - можно в разделе События нажать на поле и в контекстном меню выбрать Добавить Group BY в запрос. Вы можете выбрать последовательно несколько полей для группировки, поля будут автоматически добавлены в строку запроса. После того как вы выбрали нужные поля, нажмите Выполнить запрос. В результате будет выполнена группировка событий по заданным полям. Найденные группы будут отображаться в разделе Группы. Отображение доступно в виде таблицы и в виде карточек. Вы можете переключаться между режимами отображения. Также доступен экспорт групп и событий в формате TSV.

Можно исключить группу из поиска, запрос автоматически изменится и группа будет исключена из поиска.

Если вы хотите вернуться к исходному запросу, нажмите Выполнить исходный запрос.

По группам можно переходить и просматривать содержимое каждой группы.

Можно усложнить группировку и добавить одно или несколько полей.

Можно удалить группу из группировки и таким образом вернуться на шаг назад.

Доступна статистика, рестроспективная проверка по группам и Экспорт в TSV.

Если вы хотите, чтобы результат группировки не зависел от времени – поскольку события поступают постоянно - вы можете зафиксировать относительный интервал и применить его как абсолютный, чтобы интересующие вас события не выпали из выборки. Чтобы зафиксировать относительный интервал, в разделе События в раскрывающемся списке с временным интервалом выберите Применить текущий диапазон. Теперь вы можете работать с группами в рамках этого запроса.

В таблице событий в поле Timestamp доступна возможность выбрать формат в контекстном меню.