Настройка ссылок
Детализация позволяет связывать дашборд с внешним целевым объектом, который открывается при нажатии пользователем. Для этого используется редактор детализации с настройками ссылок на целевой объект.
Ссылка на поисковый запрос
Детализация позволяет реализовать механизм, при котором пользователи по клику на значение переходят к поисковому запросу с использованием данного значения или на иной поисковый запрос.
Принцип работы
Редактор детализации позволяет настроить переход пользователей по клику на значение к поисковому запросу. Это дает возможность исследовать события, связанные с выбранным элементом. Настройка поиска может быть произведена как с использованием предустановленного поискового запроса, так и с учетом индивидуальных требований.
Шаги по настройке
Настройка перехода на поисковый запрос осуществляется по следующей инструкции:
- На дашборде, где т�ребуется настроить детализацию, нажать
Редактировать. - Выбрать панель, где настраивается детализация и нажать на иконку настройки.
- Выбрать тип ссылки
Search.
- Ввести необходимый поисковый запрос.
- (Опционально) Выбрать временной фильтр для данного поиска.
- Нажать
Применить настройкидля применения детализации. - Нажать
Сохранитьдля сохранения изменений на дашборде.
Пример
Данный поиск генерирует таблицу, агрегирующую действия пользователей.
source winlog_auth
| aggs count by event.action.keyword
| rename event.action.keyword as "Действия", count as "Количество"
Ниже представлен пример поискового запроса, использующего токен $row.Действия$ для захвата соответствующего значения в строке.
source winlog_auth
| search event.action.keyword="$row.Действия$"
В редакторе детализации предусмотрена возможность ввода предустановленного поискового запроса. Для этого необходимо ввести запрос и, при необходимости, настроить параметры временного диапазона.
Для создания аналогичного пользовательского поискового поведения можно использовать JSON-редактор. В элементе визуализации таблицы необходимо изменить код следующим образом:
{
"drilldown": {
"enableDrilldown": true,
"drilldownType": "search",
"drilldownText": "",
"drilldownQuery": "source winlog_auth\r\n| search event.action.keyword=\"$row.Действия$\"",
"drilldownCustomTimeTokenEarliest": "now-24h",
"drilldownCustomTimeTokenLatest": "now",
"drilldownSelectTimeToken": "customPicker",
"drilldownTokens": [
{
"name": "",
"value": ""
}
]
}
}
Исходный код дашборда
{
"label": "Пример drilldown",
"inputs": [],
"rows": [{
"panels": [{
"inputs": [],
"height": 300,
"label": "Статистика по событиям пользователей",
"type": "sm",
"viz": {
"options": {
"colorRuleList": [{
"field": "Количество",
"colorScheme": "scale",
"pallete": "white_to_green",
"show": true,
"isBackground": true
}
],
"tableAutoWidth": true,
"pagination": {
"enabled": true,
"rowsPerPageList": [{
"label": "5"
}, {
"label": "10"
}, {
"label": "25"
}, {
"label": "50"
}
]
},
"sme": {
"query": "source winlog_auth\r\n| aggs count by event.action.keyword\r\n| rename event.action.keyword as \"Действия\", count as \"Количество\""
},
"summary": {
"enabled": false
},
"drilldown": {
"enableDrilldown": true,
"drilldownType": "search",
"drilldownText": "",
"drilldownQuery": "source winlog_auth\r\n| search event.action.keyword=\"$row.Действия$\"",
"drilldownCustomTimeTokenEarliest": "now-24h",
"drilldownCustomTimeTokenLatest": "now",
"drilldownSelectTimeToken": "customPicker",
"drilldownTokens": [{
"name": "",
"value": ""
}
]
},
"dataTypes": {
"Количество": {
"dateFormat": ""
}
}
},
"timeToken": "time",
"type": "table"
},
"subpanels": []
}
]
}
],
"vars": []
}
Произвольная ссылка
Детализация позволяет реализовать механизм, при котором пользователи по клику на значение переходят к объекту системы или внешнему электронному ресурсу.
Принцип работы
Редактор детализации позволяет настроить переход пользователей по клику на значение к целевому. Это дает возможность гибкой работы с другими модулями Smart Monitor, а также с внешними ресурсами, которые предназначены для аналитики событий.
Шаги по настройке
Настройка перехода на поисковый запрос осуществляется по следующей инструкции:
- На дашборде, где требуется настроить детализацию, нажать
Редактировать. - Выбрать панель, где настраивается детализация и нажать на иконку настройки.
- Выбрать тип ссылки
Произвольная ссылка.
- Ввести текст ссылки для перехода.
- Нажать
Применить настройкидля применения детализации. - Нажать
Сохранитьдля сохранения изменений на дашборде.
Пример
Данный поиск генерирует таблицу, агрегирующую действия пользователей для дашборда, с которого будет осуществляться переход.
source winlog_auth
| aggs count by event.action.keyword
| rename event.action.keyword as "Действия", count as "Количество"
Ниже представлен пример ссылки, ведущий на дашборд журнала событий с использованием токена $row.Действия$ для захвата соответствующего значения в строке.
/app/sm-dashboards/winlog_auth_events_journal#?_q=(eventAction:'$row.Действия$')
В редакторе детализации предусмотрена возможность ввода текста ссылки. Для этого необходимо ввести сам текст и, при необходимости, использовать токены.
Для создания аналогичного поведения можно использовать JSON-редактор. В элементе визуализации таблицы необходимо изменить код следующим образом:
{
"drilldown": {
"enableDrilldown": true,
"drilldownType": "custom",
"drilldownText": "/app/sm-dashboards/winlog_auth_events_journal#?_q=(eventAction:'$row.Действия$')",
"drilldownQuery": "",
"drilldownCustomTimeTokenEarliest": "now-24h",
"drilldownCustomTimeTokenLatest": "now",
"drilldownSelectTimeToken": "",
"drilldownTokens": [
{
"name": "",
"value": ""
}
]
}
}
Исходный код дашборда-источника
{
"label": "Winlog: Статистика по действиям",
"inputs": [],
"rows": [{
"panels": [{
"inputs": [],
"height": "not_set",
"label": "Статистика по событиям пользователей",
"type": "sm",
"viz": {
"options": {
"colorRuleList": [{
"field": "Количество",
"colorScheme": "scale",
"pallete": "white_to_green",
"show": true,
"isBackground": true
}
],
"tableAutoWidth": true,
"pagination": {
"enabled": true,
"rowsPerPageList": [{
"label": "5"
}, {
"label": "10"
}, {
"label": "25"
}, {
"label": "50"
}
]
},
"sme": {
"query": "source winlog_auth\r\n| aggs count by event.action.keyword\r\n| rename event.action.keyword as \"Действия\", count as \"Количество\""
},
"summary": {
"enabled": false
},
"drilldown": {
"enableDrilldown": true,
"drilldownType": "custom",
"drilldownText": "/app/sm-dashboards/winlog_auth_events_journal#?_q=(eventAction:'$row.Действия$')",
"drilldownQuery": "",
"drilldownCustomTimeTokenEarliest": "now-24h",
"drilldownCustomTimeTokenLatest": "now",
"drilldownSelectTimeToken": "",
"drilldownTokens": [{
"name": "",
"value": ""
}
]
},
"timeToken": "",
"dataTypes": {
"Количество": {
"dateFormat": ""
}
}
},
"timeToken": "",
"type": "table"
},
"subpanels": []
}
]
}
],
"vars": []
}
Исходный код дашборда-приемника
{
"label": "Winlog: Журнал событий",
"inputs": [{
"name": "eventAction",
"label": "Действие",
"type": "selection",
"token": {
"prefix": "",
"suffix": ""
},
"options": {
"static": [{
"label": "Все",
"value": "*"
}
],
"default": "*",
"filter": {
"label": "event.action.keyword",
"value": "event.action.keyword"
},
"search": "source winlog_auth\r\n| aggs count by event.action.keyword"
},
"timeInput": "",
"oldName": "eventAction"
}
],
"rows": [{
"panels": [{
"inputs": [],
"height": "not_set",
"label": "Журнал событий",
"type": "sm",
"viz": {
"options": {
"colorRuleList": [],
"tableAutoWidth": true,
"pagination": {
"enabled": true,
"rowsPerPageList": [{
"label": "5"
}, {
"label": "10"
}, {
"label": "25"
}, {
"label": "50"
}
]
},
"sme": {
"query": "source winlog_auth\r\n| search event.action.keyword=\"$eventAction$\"\r\n| table @timestamp, host.name,user.name, event.code, event.action"
},
"summary": {
"enabled": false
},
"drilldown": {
"enableDrilldown": false,
"drilldownType": "search",
"drilldownText": "",
"drilldownQuery": "",
"drilldownCustomTimeTokenEarliest": "now-24h",
"drilldownCustomTimeTokenLatest": "now",
"drilldownSelectTimeToken": ""
},
"timeToken": ""
},
"timeToken": "",
"type": "table"
},
"subpanels": []
}
]
}
],
"vars": []
}