Использование первичного фильтра

Чтобы сократить количество результатов в таблице сессий и показать только требуемые сессии, вы можете использовать первичный фильтр Менеджера сессий на основе текстовых запросов.

Чтобы выполнить текстовый запрос для первичного фильтра:

1. В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW → Мониторинг.
2. Перейдите на вкладку Менеджер сессий.
3. Введите свой запрос в поле Настроить запрос в верхней части рабочей области Менеджера сессий.
4. Нажмите на кнопку Выполнить запрос справа в строке запроса.

Запрос будет выполнен, и в таблице сессий отобразятся результаты, соответствующие запросу.

Список параметров, используемых в текстовых запросах для первичного фильтра, и соответствующих им столбцов в таблице сессий можно найти в статье Параметры сессий в таблице и в текстовых запросах для первичного фильтра.

Информация по использованию операторов сравнения, параметров сортировки и логических операторов приводится в таблице ниже.

Операторы сравнения для текстовых запросов первичного фильтра

Оператор	Описание
eq	Равно.
neq	Не равно.
gt	Больше чем.
geq	Больше чем или равно.
lt	Меньше чем.
leq	Меньше чем или равно.
in	Входит в подсеть. Подсеть задается по шаблону a.a.a.a/b.
nin	Не входит в подсеть. Подсеть задается по шаблону a.a.a.a/b.
!	Отрицает результат логической операции. Указывается перед круглыми скобками.
order by	Сортирует сессии по значениям указанного параметра на устройстве или в группе устройств Kaspersky NGFW в пределах заданного ограничения количества сессий: По убыванию (descending; применяется по умолчанию, если тип сортировки не задан явно). По возрастанию (ascending). Применяется только в конце фильтра вместе с названием параметра, значения которого необходимо отсортировать. В качестве параметра невозможно использовать логическое выражение.

Логические операторы для текстовых запросов первичного фильтра

Операция	Приоритет	Описание
and	1	Логическое И (умножение)
or	2	Логическое ИЛИ (сложение)

Особенности использования операторов в запросах

• Операторы логических операций невозможно использовать между несколькими значениями одного параметра.
• Если необходимо указать несколько значений для одного параметра, необходимо использовать несколько пар параметр-значение.
• Пары параметр-значение заключаются в круглые скобки. Количество пар круглых скобок не ограничено. При этом количество открывающих и закрывающих скобок должно совпадать.

  Примеры:

  • (address eq 1.1.1.1) or (address eq 2.2.2.2) – показать сессии с адресом источника или адресом назначения, равными 1.1.1.1 ИЛИ 2.2.2.2.
  • (address eq 1.1.1.1) and (last-active-aging geq 300) – показать сессии с адресом источника или адресом назначения, равными 1.1.1.1 И по которым последний пакет был получен не менее 300 секунд назад.
  • (address eq 1.1.1.1) or (address in 10.10.10.0/24) – показать сессии с адресом источника или адресом назначения, равными 1.1.1.1 ИЛИ по которым последний пакет был получен не менее 300 секунд назад.
• Операторы сравнения и логических операций отделяются пробелами, кроме оператора "!", например: (параметр1 = значение) and (параметр2 = значение).
• Если значение параметра содержит одинарные, двойные кавычки или обратный слеш, то их необходимо экранировать символом "\" (обратный слеш).

  Примеры:

  • (ids-profile eq 'tele \"YOU\"') – показать сессии, у которых имя профиля IDPS совпадает с tele "YOU".
  • (ids-profile eq 'Rostelecom\\MTS \"YOU\"') – показать сессии, у которых имя профиля IDPS совпадает с Rostelecom\MTS "YOU".
• Если значение параметра фильтра содержит пробел, то значение параметра заключается в одинарные кавычки, например: (create-datetime geq '2015/08/31 08:30:00').

Примеры текстовых запросов

• (address eq 1.1.1.1) – показать сессии с с адресом источника или адресом назначения, равными 1.1.1.1.
• (address neq 1.1.1.1) – показать сессии с с адресом источника или адресом назначения, НЕ равными 1.1.1.1.
• (last-active-aging geq 300) – показать сессии, по которым последний пакет был получен не менее 300 секунд назад.
• (last-active-aging leq 300) – показать сессии, по которым последний пакет был получен не более 300 секунд назад.
• (address in 1.1.1.0/24) – показать сессии с адресом источника или адресом назначения из сети 1.1.1.0/24.
• (address nin 1.1.1.0/24) или !(address in 1.1.1.0/24) – показать сессии с IP-адресом источника или IP-адресом назначения НЕ из сети 1.1.1.0/24.
• (ids-profile eq tele4) – показать сессии, у которых имя профиля IDPS совпадает с tele4.
• (ids-profile eq tele4) order by last-active-aging ascending – показать сессии, у которых имя профиля IDPS совпадает с tele4, и отсортировать сессии перед фильтрацией по возрастанию значений параметра last-active-aging.
• !(((address eq 1.1.1.1) or (port gt 1000)) and !(wc-profile eq test)) – показать все сессии, кроме тех, у которых IP-адрес источника или назначения равен 1.1.1.1 ИЛИ номер порта источника или назначения больше 1000 И имя профиля Веб-Контроля НЕ совпадает с test.

В начало