По умолчанию в разделе События веб-интерфейса KUMA данные не отображаются. Для просмотра событий в поле поиска нужно задать SQL-запрос и нажать на кнопку Выполнить запрос. SQL-запрос можно ввести вручную или сформировать с помощью конструктора запросов.
В SQL-запросах поддерживается агрегирование и группировка данных.
Вы можете осуществлять поиск событий по нескольким хранилищам. Например, таким образом вы можете выполнять поиск событий, чтобы определить, где учетная запись блокируется, или на какой URL с каких IP-адресов был выполнен вход. Пример запроса для поиска событий заблокированной учетной записи:
SELECT * FROM `events` WHERE DestinationUserName = 'username' AND DeviceEventClassID = '4625' LIMIT 250
Чтобы выполнить поиск событий по нескольким хранилищам, в разделе События в раскрывающемся списке в верхней правой части раздела установите флажки рядом с нужными хранилищами.
В списке отображаются следующие хранилища:
Например, если у вас есть доступ к тенанту коллектора, но нет доступа к тенанту хранилища, по умолчанию хранилище недоступного тенанта не отображается в списке доступных хранилищ. Вы можете в тенант коллектора добавить хранилище недоступного вам тенанта в качестве точки назначения. В этом случае хранилищ недоступного тенанта появится в списке хранилищ в разделе События, после того как событие поступит в партицию тенанта коллектора и будет передано в хранилище недоступного тенанта через точку назначения.
В поле раскрывающего списка хранилищ в верхней правой части раздела События отображается название первого из выбранных хранилищ и количество выбранных хранилищ, если их более одного. Вы можете навести курсор мыши на поле раскрывающегося списка, чтобы отобразить все выбранные хранилища.
Тенанты, выбранные в фильтре тенантов, влияют на то, какие хранилища отображаются в раскрывающемся списке хранилищ. Если в фильтре тенантов вы выключите тенанты, хранилища которых вам доступны, эти хранилища не будут отображаться в раскрывающемся списке хранилищ. Если эти хранилища были выбраны в раскрывающемся списке хранилищ, флажки напротив них будут сняты и события из этих хранилищ не будут отображаться. Если в раскрывающемся списке хранилищ выбрано только одно хранилище не из Main тенанта и в выборе тенантов вы выключили тенант, к которому принадлежит выбранное хранилище, это хранилище не будет отображаться в списке хранилищ и KUMA автоматически изменит выбор на одно из хранилищ тенанта Main.
Допускается простой запрос по всем выбранным хранилищам, как в примере выше. Если при выполнении запроса недоступно хотя бы одно из выбранных хранилищ, KUMA вернет ошибку.
Ограничения для поиска событий по нескольким хранилищам:
Сложные запросы с группировками и агрегацией допускаются для одного выбранного хранилища.
Вы можете добавить условия фильтрации в уже сформированный SQL-запрос в окне просмотра статистики, таблицы событий и области деталей событий:
После изменения запроса все параметры запроса, включая добавленные условия фильтрации, переносятся в конструктор и строку поиска.
Параметры запроса, введенного вручную в строке поиска, при переключении на конструктор не переносятся в конструктор: вам требуется создать запрос заново. При этом запрос, созданный в конструкторе, не перезаписывает запрос, введенный в строке поиска, пока вы не нажмете на кнопку Применить запрос в окне конструктора.
В поле ввода SQL-запроса можно включить отображение непечатаемых символов.
События можно также фильтровать по временному периоду. Результаты поиска можно автоматически обновлять.
Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.
Функции фильтрации доступны пользователям всех ролей.
При обращении к некоторым полям событий с идентификаторами KUMA возвращает соответствующие им названия.
Подробнее об SQL см. в справке ClickHouse. Также об SQL-операторах и функциях, поддерживаемых в KUMA, см. использование операторов в KUMA и поддерживаемые функции.