Фильтры и политики

Меню Создать имеет следующие опции:

../_images/fp_1.png

Фильтр – это настраиваемый набор правил, согласно которому будут выводиться данные и события. Дашборд – набор из нескольких фильтров отображаемых одновременно. Политика – инструмент, определяющий продуктивность событий, согласно настраиваемому набору правил(фильтру). Поиск по словарю – политика, присваемая событиям содержащий контент, указанный в словаре. Папка - существует для хранения фильтров и политик. Срабатывание по порогу – политика, который срабатывает только при достижении определенного кол-ва событий, времени активности, времени разговора, размера файла(файлов) в сумме за выбранный промежуток времени. Распознавание печатей – политика, которая запускает распознавание печатей и соответствие их загруженному образцу Поиск графических объектов – политика, которая запускает распознавание выбранной категории изображений. Политика удаления событий – политика, которая удаляет события из БД согласно настроенному фильтру.

Свойства фильтра

Модальное окно свойства фильтра состоит из следующих компонент по вкладкам:

Свойства - Позволяет задать имя фильтра. Если это политика, то появляется настройка активации политики. При включении политики значок становится зеленым в панели фильтры и сама политика будет отображаться в Конструкторе, в измерении Сработавшие политики. Также появится возможность оперделить категорию фильтра по продуктивности. Для словарей появляется возможность настроить словарь по ключевым словами или по регулярным выражениям.

../_images/fp_3.png

Уведомления - Настраиваются уведомления по событиям фильтра, по факту получения новых событий или по расписанию в формате Лента событий, PDF и HTML. Можно настроить, чтобы не отправлялись пустые отчеты. В поле значений «Кому» можно ввести несколько значений столбиком без знаков разделителей. Более подробно можно почитать статью по отправке уведомлений.

Фильтр:

  • Конструктор в этой вкладке можно настроить фильтр, добавляя типы событий прямо по выбранным измерениям.

../_images/fp_2.png

  • Сложный запрос позволяет задать параметры фильтрации используя логические выражения И, ИЛИ. Рассмотрим на примере политики «Корпоративные ресурсы», у нас есть первое условие «Тип события = время активности» И второе условие (группа условий) «Сайты», которые разделены ИЛИ, то есть если есть совпадение с первым условием, то проверяется второе условие на наличие совпадения с одним из сайтов (Например, corp_site.com). В итоге, если два условия совпадают, то политика отработает и покажет нам результат.

../_images/fp_4.png

  • Код фильтра представляет из себя текстовый редактор, в котором отображаются параметры фильтрации в текстовом виде, состоящее из тега (например: agent_application@app_name:app_name), оператора присваивания („=“) и значения параметра фильтрации (например: chrome.exe).

../_images/fp_5.png

Назначение конфигурации - данная функционал позволяет при срабатывании фильтра переключать конфигурацию агента на выбраную вами. Например: Для пользователя Василия была установлена «Конфигурация по умолчанию», которая собирает информацию по УРВ. Вы произвели настройку фильтра на отслеживание программ связанных с удаленным подключением и в случае сработки данного фильтра указали переключение на конфигурацию «Полный контроль», которая дает полную информацию по действиям пользователя.

Отличие фильтра от политики

Фильтр работает с полученными данными и сработавшими политиками, которые расположены в меню конструктора в Сработавшие политики. Выбрав нужные измерения получаете результат.

Политика работает с полученными данными и обрабатывается согласно значению Период запуска политик (сек.) указанному в параметрах сервера. Существуют различные типы политик. Некоторые из них описаны в начале статьи, а про другие можно почитать в статье системные фильтры. Результаты отработавших политик (кроме системных) можно посмотреть в Сработавшие политики.