После получения списка событий часто возникает потребность разделить полученные события по группам, чтобы локализовать событие информационной безопасности. В KUMA есть возможность сгруппировать события по одному или нескольким полям для полученного списка событий.
Чтобы сгруппировать события, теперь не нужно вручную корректировать текст запроса - можно в разделе События нажать на поле и в контекстном меню выбрать Добавить Group BY в запрос. Вы можете выбрать последовательно несколько полей для группировки, поля будут автоматически добавлены в строку запроса. После того как вы выбрали нужные поля, нажмите Выполнить запрос. В результате будет выполнена группировка событий по заданным полям. Найденные группы будут отображаться в разделе Группы. Отображение доступно в виде таблицы и в виде карточек. Вы можете переключаться между режимами отображения. Также доступен экспорт групп и событий в формате TSV.
Можно исключить группу из поиска, запрос автоматически изменится и группа будет исключена из поиска.
Если вы хотите вернуться к исходному запросу, нажмите Выполнить исходный запрос.
По группам можно переходить и просматривать содержимое каждой группы.
Можно усложнить группировку и добавить одно или несколько полей.
Можно удалить группу из группировки и таким образом вернуться на шаг назад.
Доступна статистика, рестроспективная проверка по группам и Экспорт в TSV.
Если вы хотите, чтобы результат группировки не зависел от времени – поскольку события поступают постоянно - вы можете зафиксировать относительный интервал и применить его как абсолютный, чтобы интересующие вас события не выпали из выборки. Чтобы зафиксировать относительный интервал, в разделе События в раскрывающемся списке с временным интервалом выберите Применить текущий диапазон. Теперь вы можете работать с группами в рамках этого запроса.
В таблице событий в поле Timestamp доступна возможность выбрать формат в контекстном меню.
В начало