Работа в Конструкторе

Конструктор запросов — основной инструмент для отображения и фильтрации данных в веб-интерфейсе Staffcop.

Конструктор располагается на главной странице и на странице фильтра:

Основные элементы конструктора:

• Фильтр времени (Датапикер) — выбор временного диапазона для отображения данных, например месяц или год.

• Поиск — поле для поиска по тексту, фразе или регулярному выражению.

• Измерения — список измерений для фильтрации данных: Типы событий, Пользователи, Устройства и др.

• Значения измерений — список значений для выбранного измерения. Например, список всех пользователей для измерения Пользователь.

• Поиск по измерению — поиск значений внутри выбранного измерения.

Конструктор на странице фильтра содержит две дополнительные кнопки:

• Сложный запрос — окно для фильтрации данных с помощью логических выражений И, ИЛИ.

• Код фильтра — текстовый редактор для изменения параметров фильтра или передачи кода фильтра в службу поддержки.

Как использовать конструктор

В соответствии с выбранным измерением меняется содержимое панели конструктора.

Пример: Вывести события пользователя TestUser за 24 ноября.

1. Выберите измерение Пользователь → Пользователь в Списке измерений.

2. Выделите значение TestUser в Списке значений измерений.

3. Выберите измерение Дата — По дням в Списке измерений.

4. Выделите значение 24-ноябрь-2024 в Списке значений измерений.

Условия фильтрации отображаются в левом нижнем углу страницы.

Нажмите х на условии, чтобы полностью удалить его.

Нажмите на ±, чтобы исключить только значение. Например, нажмите на ± возле значения chrome.exe, чтобы исключить события из приложения Google Chrome.

Поиск — Ключевое слово

Поле Поиск — Ключевое слово позволяет искать данные по ключевому слову, подстроке или регулярному выражению.

Для выбора условия нажмите на выпадающее меню рядом с полем поиска:

• @ — ключевое слово;

• + — подстрока;

• ~ — регулярное выражение без учета регистра;

• ^ — регулярное выражение с учетом регистра.

Пример. Найти события по ключевому слову резюме.

1. Слева от поля Поиск — Ключевое слово выберите опцию @.

2. В поле Поиск — Ключевое слово введите резюме и нажмите кнопку поиска. После этого в нижнем левом углу появится условие поиска, а в Линзе событий отобразятся события, которые содержат резюме.

3. Нажмите на событие в Линзе, чтобы посмотреть информацию по нему. Ключевое слово будет выделено желтым цветом.

См.также

Подробнее об условиях поиска

Датапикер

Датапикер позволяет отфильтровать события по времени. Чтобы его открыть, нажмите на строку Период с в верхней панели слева.

Установить время можно тремя способами:

• выделите дни на календаре;

• укажите даты начала и конца периода в поле ввода;

• выберите подходящую опцию слева от календаря.

После выбора даты поставьте галочку Зафиксировать. Благодаря этому фильтр времени не сбросится при обновлении страницы через кнопки Домой и Обновить или клавишу F5.

Измерения

Фиксированный список категорий измерений, который отображается в левой части окна. При выборе измерения конструктор покажет события мониторинга только для этого измерения.

См.также

Подробное описание измерений.

Вы можете выбрать сразу несколько измерений.

Пример. Показать события Запись звука для пользователя TestUser.

1. Нажмите на Тип события.

2. Выберите в соседней колонке значений событие Запись звука.

3. В списке измерений нажмите Пользователь и выберите пользователя TestUser из списка значений.

Значения измерений

Позволяет отфильтровать события по конкретным значениям выбранного измерения. Например, при выборе измерения Компьютер появится список всех компьютеров. Выберите компьютер, чтобы в Линзе отобразились релевантные события.

Примечание

При создании или редактровании фильтра установленные в Датапикере даты не учитываются, поэтому в окне фильтра конструктор покажет данные за все время.

Для управления списком нажмите три горизонтальных линии в правом углу:

Добавление правил мониторинга из конструктора

В Конструкторе вы можете добавить правило мониторинга в конфигурацию компьютера.

Доступно добавление правил для следующих измерений:

• Пользователь — Пользователь,

• Приложение — Название,

• Сайт — Полный домен,

• Сайт — URL,

• Сайт — Основной домен,

• Сайт — Тип контента,

• Сетевая активность — IP-адрес,

• Сетевая активность — Сетевой порт,

• Файл — Путь файла,

• Устройство — ID-устройства,

• Устройство — Класс устройства.

Пример. Пользователи регулярно посещают сайт ya.ru, поэтому нет необходимости в отслеживании активности на сайте. Нужно добавить запрет на отслеживание в Конфигурацию по умолчанию.

1. На главной странице веб-интерфейса в Списке измерений выберите Сайт — Полный домен.

2. В Списке значений измерений найдите значение ya.ru.

3. Нажмите на иконку шестеренок рядом со значением и выберите Редактирование правил. Откроется окно добавления правил в конфигурацию.

4. Выберите Конфигурацию по умолчанию и выберите Блокировать для поля Сетевой мониторинг — Адрес.

5. Нажмите Сохранить.

В результате для Конфигурации по умолчанию в разделе Сетевой мониторинг — Адрес добавлен запрет отслеживания событий с ya.ru.

Поиск по измерению

Поле ввода Поиск — Измерение позволяет найти значение измерения в конструкторе.

Пример. За сутки пользователи открыли более ста приложений, вы хотите найти события winword.exe. Выберите в списке измерений Приложения → Название и введите в поиске win.

Сложный запрос

Дополнительная кнопка в конструкторе на странице фильтра. Используйте сложный запрос для группировки нескольких простых условий через логические операторы.

Когда вы указываете условия фильтрации в Конструкторе, между измерениями стоит И — например, тип события И имя пользователя. В Сложном запросе, кроме И, доступен оператор ИЛИ.

Используйте логические операторы:

• И: чтобы оба условия должны быть выполнены;

• ИЛИ: если достаточно одного выполненного условия.

Сложный запрос удобнее для настройки фильтра политик, потому что для их фильтрации используются более комплексные условия.

Пример. Нужно создать политику, которая отслеживает посещение корпоративных сайтов.

1. Нажмите + Создать — Политика. Откроется окно создания политики.

2. Укажите название Рабочие ресурсы и нажмите Политика активна.

3. Перейдите на вкладку Фильтр — Сложный запрос.

4. Нажмите + Условие и выберите Тип событий — Равно — Время активности.

5. Выберите оператор И и нажмите Группа условий.

6. Нажмите + Условие и выберите Сайт — Основной домен — Равно — staffcop.ru.

7. Выберите оператор ИЛИ и нажмите + Условие.

8. Нажмите + Условие и выберите Сайт — Основной домен — Равно — bitrix24.ru.

В результате отфильтруются события с типом Время активности на сайтах staffcop.ru и bitrix24.ru.

Условные операторы сложного запроса

Сложные запросы позволяют фильтровать события, комбинируя операторы сравнения. Эти операторы помогают задать условия, по которым данные будут включаться или исключаться из выборки.

Равно / Не равно

Равно выводит события, значения которых строго равны значению в условии.

Вывести события пользователя TestUser:

Не равно исключает события с указанным значением.

Отобразить письма, отправленные на любой домен, кроме company_domain.ru:

Содержит / Не содержит

Содержит выводит события, если их значение включает указанную подстроку.

Вывести события с файлами, в названии которых содержится подстрока УПД, например УПД 2.xls, УПД.rtf, Обновленный упд2_0.pdf:

Не содержит исключает события, содержащие указанную подстроку.

Отфильтровать файлы, в названии которых нет слова screenshot:

В списке / Не в списке

В списке выводит события, значения которых входят в список значений.

См.также

Подробнее о создании и редактировании списков

Чтобы найти письма, отправленные на адреса testuser1@testmail.ru, testuser2@testmail.ru или testuser3@testmail.ru из списка Доверенные контрагенты:

1. Создайте список Доверенные контрагенты и добавьте в него значения.

2. Добавьте условие:

Не в списке исключает события со значениями из списка.

Вывести события с устройствами, которые не входят в список Доверенные USB-накопители:

Регулярное выражение

Выводит события, значения которых соответствуют шаблону регулярного выражения.

Найти события, содержащие номер паспорта 4321 567890:

См.также

Подробнее о работе с регулярными выражениями

Код фильтра

Код фильтра отображает условия фильтрации, которые были заданы через Конструктор или Сложный фильтр.

Предупреждение

Вы можете проверить значения параметров в Коде фильтра, но не используйте его для полноценной настройки. При возникновении вопросов или ошибок во время работы с фильтром, скопируйте код и передайте его в службу технической поддержки.