Использование приложения оператором#

Поиск и просмотр событий#

Поиск событий всех доступных модулей#

Для поиска и просмотра событий Platform V Audit SE (AUD) выполните следующие действия:

1. На стартовой странице веб-приложения нажмите Поиск событий аудита.

2. В открывшейся форме «Поиск события»:

   1. выберите период поиска события и часовой пояс;

   2. выберите тип поиска: по словам, фразой целиком, с помощью Lucene;

   3. введите текст для поиска;

   4. нажмите Найти. Найденные события отображаются в интерфейсе (см. рисунок). Описание параметров найденных событий приведено в таблице ниже.

Параметры найденных событий

Поиск отдельных слов и фраз#

Пользователю доступны следующие типы поиска:

• «По словам». Если выбран этот тип поиска, слова, введенные в строку поиска, и разделенные пробелом, ищутся в записи вне зависимости от их последовательности. Запись будет найдена, если в ней имеются все слова из строки поиска. Поиск по словам не чувствительный к регистру, находит слова с учетом словоформ, и трактует специальные символы как обычные.

• «Фразой целиком». Если выбран этот тип поиска, то в результаты поиска попадут лишь те записи, в которых содержатся все слова из строки поиска в том же порядке. Поиск по фразе не чувствительный к регистру, не выполняет поиск с учетом словоформ. Трактует специальные символы как обычные.

Например, если в поле записи имеется текст «слово1 слово2», а в строку поиска введена фраза «слово2 слово1», то запись будет найдена только при поиске по словам.

Поиск по словам и фразам производится по следующим столбцам:

• модуль;

• название события;

• код события;

• пользователь:

  • имя пользователя;

  • логин пользователя;

  • узел пользователя;

• параметры метамодели;

• сессия.

Поиск с помощью языка Lucene#

О Lucene#

Lucene — это свободная библиотека для высокоскоростного полнотекстового поиска, написанная на Java.

Основные особенности данной библиотеки:

• высокоскоростная индексация;

• мощный, точный и эффективный поисковый алгоритм.

Поиск с использованием языка Lucene осуществляется с помощью запросов.

Запросы и термы#

Запросы состоят из термов и операторов. Термы бывают двух видов:

1. одно слово (single) – это обычные слова, например, «Попытка», «входа», «в», «систему»;

2. фраза (phrases) — это группа слов, например, «Попытка входа в систему».

Несколько термов можно связывать вместе при помощи логических операторов.

Поля#

Lucene позволяет искать данные в заданном поле события. Для поиска по полю необходимо написать название этого поля, дальше поставить двоеточие и после него написать терм поиска.

Если терм взят в кавычки, то в результаты поиска попадут записи найденные по фразе целиком.

Например, поиск по полю "description" терма "Попытка входа в систему" будет выглядеть следующим образом:

Поиск в поле «description»
description:"_Попытка входа в систему_"

На форме поиска событий возможен поиск по полям, описанным в таблице:

Поиск событий по следующим полям

Допустимо использование в указании терма масок.

Маски#

Lucene позволяет производить поиск по маске. Для этого необходимо заменить часть текста на следующий символ:

• ? — для замены одного символа;

• * — для замены любого количества символов.

Поиск по маске:

description: Попытка входа *
description: Попытка входа в с?стему

Lucene поддерживает использование этих символов для поиска одного слова, а не фразы. Символы «*» и «?» не рекомендуется использовать в начале поискового запроса.

Нечеткий поиск#

Lucene поддерживает возможность нечеткого поиска. Для нечеткого поиска необходимо поставить символ «~» в конце одиночного терма. Коэффициент похожести задается следующим образом: «привит~0.8». По умолчанию значение коэффициента похожести равно 0.5. Для термов из нескольких слов символ «~» используется для указания максимального расстояния между ними.

Поиск в диапазоне#

Lucene позволяет искать документы по диапазону значений, например, запрос:

description:\[Попытек TO Попытки\]

найдет все события, содержащие слова «Попытек», «Попытка» и «Попытки».

Для исключения граничных значений необходимо использовать фигурные скобки:

description:{Попытек TO Попытки}

Логические операции#

Логические операции позволяют комбинировать несколько термов, например:

• найти слово или фразу:

  eventType:ENTITY_CHANGE OR description:"Событие с параметром NULL"

• или найти запись, содержащую сразу слово и фразу:

  eventType:USER_EVENT AND description:"Событие с параметром NULL"

• или исключить фразу при наличии одного слова:

  eventType:USER_EVENT NOT description:"Событие с параметром NULL"

Все операторы должны быть указаны в верхнем регистре.

Также возможно задать обязательное слово (фразу) при помощи символа «+», например:

+description:"Событие с параметром NULL" "Тестовая сущность"

В этом случае фраза «Событие с параметром NULL» должна обязательно содержаться в событии, а фразы «Тестовая сущность» может и не быть в событии вообще.

Аналогично, возможно исключить записи, содержащие слово (фразу), например:

-description:"Событие с параметром NULL" "Тестовая сущность"

В этом случае в результатах поиска фразы «Событие с параметром NULL» не должно быть, а фраза «Тестовая сущность» может содержаться в результатах поиска.

Группировка#

Lucene поддерживает использование скобок для группировки.

• Для поиска «ibs» или «root» и «систему» используйте запрос:

  (ibs OR root) AND систему

  Запрос найдет события, в которых есть слово «ibs» или слово «root», а также есть слово «систему».

• Для поиска «Типа события», содержащего как «ENTITY_CHANGE», так и «USER_EVENT», используйте запрос:

  eventType:(ENTITY_CHANGE OR USER_EVENT)

  Запрос найдет типы событий, в которых есть ENTITY_CHANGE или USER_EVENT.

• Для поиска в поле «Модуль», содержащего как слово «configurator», так и фразу «ott-service» используйте запрос:

  module:(configurator OR "ott-service")

  Запрос найдет записи с модулями «configurator» или «ott-service».

• Для поиска в поле "Теги" (содержится в дополнительных параметрах), поиск по отдельному тегу осуществляется по запросу:

  tags:(*tag1*)

  Если в названии тега присутствует двоеточие, будет ошибка поиска, так как двоеточие используется в синтаксисе Lucene.

• Поиск по обязательному вхождению:

  text:(+"fake-user" +"audit-test")

  Запрос найдет записи, в которых есть как пользователь «fake-user», так и модуль «audit-test».

Просмотр детальной информации о событиях и операциях#

Просмотр детальной информации о событиях#

Для просмотра детальной информации о событии Platform V Audit SE (AUD):

1. Выполните поиск события (см. подраздел выше).

2. В списке найденных событий выберите интересующее (щелчком по строке с событием).

В форме Подробно в правой части окна отобразятся детали события (см. рисунок).

В форме Подробно отображаются следующие сведения:

• название события;

• код события;

• дата и время регистрации;

• параметры метамодели;

• измененные параметры метамодели;

• дополнительные параметры.

Просмотр дерева операций#

Дерево операций позволяет просмотреть события, происходившие до и после события, найденного при помощи поиска, и связанные с этим событием логически (в бизнес-операцию). Эта функция доступна для событий, которые поступают от прикладных модулей, подключенных с использованием legacy-вариантов клиентских модулей Platform V Audit SE (AUD).

Для просмотра дерева операций события:

1. Нажмите Дерево операций в форме Подробно конкретного события.

   

2. Выберите операцию из дерева. В форме справа отобразятся детали операции, а в списке ниже — события этой операции (см. рисунок). При выборе события из списка в окне справа отображается детальная информация о событии.

   

Поднятие данных из архива в оперативное хранилище#

Эта функция доступна только пользователю Platform V Audit SE (AUD) с ролью Администратор.

Форма Работа с архивом предназначена для поднятия данных в оперативное хранилище. После успешного восстановления данные доступны для просмотра в форме Поиск событий аудита.

Для поднятия данных в оперативное хранилище:

1. На стартовой странице нажмите Администрирование. На странице отобразится форма Работа с архивом (см. рисунок ниже).

2. С помощью интерфейсных элементов формы задайте период, за который нужно поднять архив, и имя прикладного модуля и коды событий, при необходимости. Нажмите Запустить.

В таблице под запросом появится задача поднятия данных в оперативное хранилище. Для каждой задачи отображается следующая информация:

• Статус:

  • При успешном завершении задача переходит в состояние SUCCEEDED, проставляется дата окончания работы процесса и наименование коллекции в Solr. После этого для поиска доступен данный период.

  • Состояние задачи SUSPENDED, FAILED и KILLED говорит, что процесс поднятия данных из архива приостановлен в связи с ошибками.

• Дата начала и (при наличии) дата завершения задачи.

• Название коллекции в Solr.

Внимание!

Нельзя запускать одновременно более одной операции поднятия событий из архива.

Чтобы удалить архивную коллекцию в Solr, нажмите в строке с задачей. После удаления коллекции запись о ней остается в списке истории запусков. Историю запуска можно очистить, перезапустив сервис Oozie.

Выгрузка событий из Platform V Audit SE (AUD) для системы мониторинга (автоматическая)#

Platform V Audit SE (AUD) передает данные в режиме онлайн во внешнюю систему, в которой настроены оповещения на поступление определенных данных.

Platform V Audit SE (AUD) в соответствии с указанным фильтром Kafka (настраивается администратором) отбирает события и операции, затем перекладывает их в транспорт, из которого внешняя система производит вычитку данных.

Просмотр статистических данных#

Для просмотра статистических данных о модулях, подключенных к Platform V Audit SE (AUD), и сообщениях о событиях:

1. На стартовой странице приложения нажмите Статистика. На странице отобразится форма Статистика.

2. Укажите требуемый период.

3. Выберите, какую статистику необходимо отобразить:

   • По модулям за период — для отображения суммарного количества событий с разбиением по подключенным модулям.

   • По событиям модулей за период — для отображения количества событий с разбиением по конкретным событиям и конкретным модулям.

   • По событиям за период — для отображения количества событий с разбиением по конкретным событиям, но независимо от модулей.

4. Нажмите Запустить.

Запрошенная информация отобразится в виде таблицы.

Управление тенантами#

Эта функция доступна только пользователям Platform V Audit SE (AUD) с ролью Администратор и правами на работу со всеми тенантами.

Поиск тенанта#

Для поиска требуемого тенанта:

1. На стартовой странице нажмите Управление тенантами.

2. В открывшейся форме управления тенантами укажите идентификатор тенанта (полный или частичный).

3. Нажмите Найти для отображения в списке только тенантов, имеющих в идентификаторе указанные символы.

Удаление тенанта#

Для удаления тенанта из структур данных Platform V Audit SE (AUD) нажмите Удалить в строке с этим тенантом.

Добавление тенанта#

Для добавления тенанта в структуры данных Platform V Audit SE (AUD):

1. Нажмите Создать тенант в интерфейсе управления тенантами.

2. Укажите требуемые параметры:

   • идентификатор тенанта;

   • срок хранения событий в долгосрочном (архивном) хранилище, в сутках;

   • срок хранения событий в оперативном хранилище (индексе), в сутках;

   • режим экспорта данных тенанта во внешнюю систему, при необходимости.

3. Нажмите Создать тенант.