Фильтры событий

Мониторинг событий в реальном времени является очень важной частью большинства приложений управления удаленными устройствами. Устройства обычно генерируют множество различных событий, и система, содержащая множество устройств, обычно получает несколько критических событий на каждую тысячу или миллион обычных событий. В этом случае человеку-оператору, очевидно, не нужно отслеживать все события, а только те, которые могут потребовать вмешательства человека. Чтобы отсеять менее значимые события и сосредоточиться на наиболее важных, используйте фильтры событий. Фильтры также можно использовать для отслеживания любых системных событий, включая выполнение запланированных заданий или эскалацию тревоги.

Фильтр событий может скрывать незначительные события и выделять наиболее важные. Это набор правил, определяющих содержимое компонента Журнала событий в пользовательском интерфейсе AggreGate Server (например, журнал событий в AggreGate Client) для настройки визуализации входящих событий в соответствии с ролью пользователя. Фильтр принадлежит создавшему его пользователю, но может быть разделен между пользователями благодаря гибкой настройке прав доступа.

События могут быть отфильтрованы по:

  • Ресурcу (устройство, группа устройств, ресурс системы или ресурсы группы)

  • Типу события

  • Уровню события (severity)

  • Параметрам, подтверждениям или обогащениям

  • Любым пользовательским критериям, определенным выражением

Возможность фильтрации по выражению делает фильтры событий очень гибкими. Вот несколько примеров фильтрации, которую можно выполнить с помощью выражения:

  • Нахождение выполняемых событий в особом диапазоне даты и времени

  • Нахождение событий входа особого пользователя (то есть фильтрация по имени пользователя)

  • Нахождение всех событий, которые содержат определенную подстроку в любом поле данных

  • Нахождение всех температурных показаний, собранных, когда температура превышала определенный порог.

  • Нахождение событий, совпадающих с условием X и/или условием Y, а также с более сложными комбинациями

В добавление к выбранным критериям фильтры включают в себя правила визуализации списка событий:

  • Видимость базовых параметров события, то есть источник, тип, уровень и подтверждение

  • Видимость индвивидуальных полей, указывающих на события

  • Правила выделения, основанные на выражении и уровне

У каждого сервера, помимо фильтров на уровне браузера, есть дофильтровые правила, позволяющие удалить определенные события до того, как они будут сохранены в базе данных или отправлены в любое направление.

На фильтр может быть наложен параметр, чтобы запрашивать у оператора определенные параметры каждый раз, когда он активируется.

Вертикальные рыночные продукты, основанные на AggreGate, включают в себя наборы встроенных фильтров для просмотра отраслевых событий системы, событий устройства, тревоги и т.д.

У каждого пользователя свой набор правил для фильтра событий.

Создание фильтров журнала событий при работе с большим количеством данных, может значительно увеличить объем памяти используемой AggreGate Server.

Работа с фильтрами событий

Для того, чтобы начать пользоваться фильтром событий, пользователю необходимо активировать его, выбрав из контекстного списка в компоненте Журнал событий:

Компонент журнала событий состоит из двух разделов:

  • События реального времени. Показывает только что выполненные события.

  • История событий, показывает прошлые события.

Можно выбрать отдельные фильтры для каждого раздела. Если выбран фильтр в разделе "События реального времени", Журнал событий начинает прослушивать все категории событий, указанные в таблице правил фильтра. Если выбран фильтр в разделе "История событий", AggreGate Server загружает все события, удовлетворяющие списку правил фильтра (см. ниже) в базе данных, и показывает первые несколько строк, позволяя пользователю прокрутить весь список и выбрать необходимые события.

Наиболее важным свойством фильтра событий являются правила фильтра, определяющие, какие именно события показывать. Во время активации фильтра, обрабатывается каждая включенная запись в таблице Правил фильтра, и  в журнале отображаются события, соответствующие следующим условиям:

  • Контекст, в котором было выполнено событие, должен соответствовать Маске контекста.

  • Если Имя события не равно "*" (Все события), то оно должно в точности совпадать с полем Имя события.

  • Уровень события должен быть больше или равен уровню серьезности ошибки, обозначенному в поле Уровень.

  • Событие должно удовлетворять Выражению фильтра.

Все поля, имена которых выделены выше жирным шрифтом, описываются далее. Каждая запись фильтра может иметь цвет выделения, который будет в дальнейшем использоваться для выделения событий данной категории в Журнале событий.

Цвет выделения, заданный в записи Правила фильтра, может быть изменен при помощи правил пользовательского цветового выделения.

В журнале событий представлены по умолчанию следующие столбцы:

  • Временная метка сервера. Дата и время, когда AggreGate Server зарегистрировал данное событие. Этот столбец нельзя скрыть.

  • Контекст. Описание и/или путь к контексту, где произошло событие. Данный столбец показывает описания контекста по умолчанию. Пути контекста будут показываться, только если включена настройка Показывать путь контекста вместе с описаниями в информации о фильтре. Данный столбец может быть скрыт, для этого нужно отключить настройку Имя контекста в основных видимых полях.

  • Событие. Имя события и/или описание. Данный столбец показывает описания событий по умолчанию. Имена событий показаны, только если включена настройка Показывать имена событий вместе с описаниями в информации о фильтре. Данный столбец может быть скрыт, для этого нужно отключить настройку Имя события в основных видимых полях.

  • Уровень. Уровень события. Данный столбец может быть скрыт, для этого нужно отключить настройку Уровень события в основных видимых полях.

  • Данные. Представление в виде строки в таблице данных, связанной с событием. Этот столбец может показывать имена полей и значения или только значения, в зависимости от настройки Показывать имена полей в основных видимых полях.

Для более подробной информации о мониторинге событий смотрите статью Журнал событий в руководстве по эксплуатации AggreGate Client.

Администрирование фильтров событий

Для администрирования фильтров событий используются два контекста: общий контекст фильтров событий, который служит в роли контейнера, и контекст фильтров событий, который содержит информацию о конкретном фильтре.

Структура фильтра событий

Каждый фильтр событий обладает несколькими свойствами:

  • Информация о фильтре. Имя и описание фильтра, а также другие базовые настройки.

  • Правила фильтра. Список событий (точнее, типов событий, т.к. мы не обсуждаем здесь особые свойства событий), которые отображаются в Журнале событий после активации фильтра.

  • Основные видимые поля. Видимые свойства событий, показываемые, если фильтр активирован.

  • Дополнительные видимые поля. Дополнительные поля, содержащие данные, относящиеся к событию. Вы можете использовать данное свойство для выбора, какое из этих "дополнительных" полей  будет отображаться в Истории события для данного события. Например, событие Вход в систему (login) содержит поле Имя пользователя (username), указывающее на пользователя, который вошел в систему. Данное поле используется только для события Вход в систему -- нет смысла использовать его, например, в событии Тревога. Поэтому оно содержится в Таблице данных для события Вход в систему (такое поле не предусмотрено для Таблицы данных события Тревога). Содержание данного поля зависит от типов событий, выбранных в правилах фильтра.

  • Пользовательское цветовое выделение. Правила для назначения различных цветов для событий, когда они отображаются в Журнале событий.

Свойство Правила фильтра определяет, какие события будут отображаться, когда фильтр событий активирован, в то время как свойства Информация о фильтре, Основные видимые поля и Дополнительные видимые поля описывают, какие параметры и поля будут отображаться для каждого события. Более подробную информацию о свойствах фильтра смотрите здесь.

Выражения фильтра

Выражения фильтра применяются для более точной настройки фильтрации и правил цветового выделения. Для более подробной информации смотрите Выражения фильтра.

Выделение событий

События, отображаемы в Журнале событий, могут быть маркированы цветом согласно различным правилам. Для более подробной информации смотрите Цветовое выделение событий.

Параметризованные фильтры

Некоторые фильтры могут потребовать от системных операторов дополнительной настройки параметров фильтрации при запуске и перезапуске фильтра. Такие фильтры называются параметризованными фильтрами. Для более подробной информации смотрите Параметризованные фильтры.