Перейти к основному содержимому
Версия: 3.2

Фильтрация

Обзор

Созданные дашборды обладают мощной функциональностью фильтрации, которая позволяет вам настраивать отображение данных в соответствии с вашими конкретными потребностями. Это означает, что можно создавать сложные и детализированные представления данных в рамках одного дашборда.

Фильтры предоставляют гибкость в управлении информацией. Можно применять различные критерии для отбора данных, включая диапазоны дат, категории, ключевые слова и многое другое. Это позволяет быстро и эффективно находить нужную информацию, не теряясь в больших объемах данных.

Кроме того, фильтры могут быть настроены так, чтобы автоматически обновляться в реальном времени. Это означает, что вы всегда будете видеть самую актуальную и свежую информацию, без необходимости вручную обновлять дашборд.

Создание фильтров

Для того, чтобы создать фильтр нужно перейти в режим редактирования дашборда, нажав на соответствующую кнопку в правом верхнем иглу дашборда. Далее необходимо нажать кнопку Добавить фильтр в левом верхнем углу дашборда. Далее, в выпадающем меню выбираете тип фильтра:

Для создания фильтра:

  1. Перейдите в редактор дашборда
  2. Нажмите кнопку Добавить фильтр
  3. Выберите тип фильтра из выпадающего списка.

Типы фильтров

В Smart Monitor доступны следующие типы фильтров:

ФильтрОписаниеВнешний вид
Timeфильтр для выбора временного интервалаФильтр времени
Textфильтр для точной фильтрации, например, по IP-адресуФильтр текста
Selectionфильтр с одним выбором из спискаФильтр выбора
Checkboxфильтр с множественным выбором из множестваФильтр чекбоксов
Radioфильтр с одним выбором из небольшого множестваФильтр радио
Multi-Selectфильтр для выбора нескольких значений из спискаФильтр множественного выбора

После выбора типа фильтра, над панелями визуализации отобразится созданный фильтр.

Фильтры можно редактировать, нажав на иконку карандаша. После нажатия справа появится окно редактирования фильтра.

В зависимости от фильтра окно включает в себя следующие пункты:

  • Общие настройки – настройки, задающие основной функционал фильтра
  • Статические опции – перечень вариантов фильтрации, которые указываются вручную
  • Динамические опции – перечень вариантов фильтрации, которые сформированы с помощью результатов запроса SML

Дальнейшее описание настроек фильтров использует фильтр типа Selection.

Общие настройки фильтра

Общие настройки включают в себя основные параметры фильтра:

  • Название – отображаемое имя компонента на дашборде
  • Системное имя – имя токена для использования в поисковых запросах
  • Префикс токена – текст перед значением токена
  • Суффикс токена – текст после значения токена
Информация

Подробнее о токенах вы можете узнать в разделе Токены

Статические опции

Блок настроек статических выглядит имеет следующие поля:

  • Название - отображаемое имя в списке
  • Значение - значение, которое будет подставляться в токен
  • Значение по умолчанию - значение, которое будет подставляться в токен по умолчанию

Теперь в примере указанном выше в списке фильтра будут отображаться значения, которые указаны в статических опциях.

Таким образом, при выборе пункта Все в токен будет подставляться значение *, а при выборе Logged-on - 4624.

Динамические опции

Блок динамических опций позволяет составлять список опций фильтра из результатов запроса на языке SML. Блок имеет следующий внешний вид и поля:

  • Поиск - запрос на языке SML, результаты которого будут использоваться в фильтре
  • Поле отображения в заголовке - поле из результатов запроса , которое будет отображаться в выпадающем списке
  • Поле значения - значение фильтра, которое будет подставляться в токен при выборе опции
  • Токен временного фильтра - обязательный параметр для указания временных ограничений для запроса

Для работы динамических опций в фильтре типа "Selection" необходим токен временного фильтра Time. Для этого необходимо создать временной фильтр и указать ему следующие настройки, как пример:

Здесь Системное имя - токен, который будет использоваться в настройках динамических опций.

Теперь стоит вернуться к настройке динамических опций.

Например, требуется в опциях фильтра иметь список всех доступных в событиях значений поля event.code. Следующий запрос вернет результат, состоящий из двух столбцов - отображаемого названия и значения:

source winlog_auth
| stats last(event.code) as event.codes by event.action

Указав в динамических опциях этот запрос, токен временного фильтра time и заполнив остальные поля следующим образом:

Опции фильтра приобретут вид:

Теперь при выборе значения из списка полей для отображения, будет подставляться соответствующее значение в токен.

Токены

Описание

Токен - это переменная, значение которой подставляется в запрос или фильтр для более гибкой настройки фильтрации данных на дашборде. Использование токенов позволяет сделать фильтрацию данных на дашборде более динамичной и удобной для пользователя.

Например, в запрос можно подставить токен со значением из фильтра Selection, выбранного пользователем на дашборде. Это позволит автоматически фильтровать данные на дашборде в соответствии с заданным значением.

Создание токена

Токены создаются в настройках фильтра в секции Общие настройки. Основными полями для его настройки являются:

  • Системное имя - уникальное имя токена, по которому он будет идентифицироваться (обязательный параметр)
  • Префикс токена - значение, которое будет добавлено перед значением токена
  • Суффикс токена - значение, которое будет добавлено после значения токена

Чтобы создать токен:

  1. Перейдите в настройки фильтра
  2. В секции общие настройки введите желаемое Системное имя токена
  3. (Опционально) Укажите Префикс токена и/или Суффикс токена
  4. Нажмите Сохранить, что применить изменения

Префикс и суффикс токена

Префикс токена и Суффикс токена позволяют добавлять текст перед и после самого значения токена.

Это полезно, если значение требуется обернуть в кавычки или добавить другие символы, которые необходимы для корректной работы запроса или их добавление затруднено при использовании динамических/статических опций.

Например, если значение токена должно обертываться в двойные кавычки для использования в запросе на языке SPL, то можно указать в настройках токена:

Теперь в значение токена будут автоматически добавляться двойные кавычки вокруг значения.

Использование в запросах

После создания токена его можно использовать в запросах для панелей визуализаций на дашборде:

Для того, чтобы это сделать:

  1. Перейдите в редактор дашборда
  2. Выберите панель, в запросе которой необходимо использовать токен для фильтрации
  3. Перейдите в компонент Поисковый запрос

Для использования токена в запросах панели в Smart Monitor предусмотрен следующий синтаксис:

Например, в запросе, панель которого требуется фильтровать по коду события:

source winlog_auth
| search $event_code$