Перейти к содержанию

Работа с событиями

Консоль управления ПроAPI Защита предоставляет несколько удобных механизмов для поиска событий. В разделе События доступны следующие механизмы поиска:

  • Фильтры для выбора критериев поиска

  • Поисковая строка для ввода поискового запроса с использованием атрибутов и модификаторов, приближенных к человеческому языку

Значения, установленные в фильтрах, автоматически дублируются в поисковой строке. Значения, указанные в поисковой строке, автоматически дублируются в фильтрах.

События API Firewall Manager

События объединяются в группы на основе определённых критериев и временного интервала, чтобы обеспечить удобство анализа. События собираются в группы в течение заданного промежутка времени.

Следующие параметры используются для объединения событий в группы:

  • Тип события

  • Метод запроса

  • Домен

  • Путь

  • Параметры

  • Приложение

Алгоритм группировки
Сбор событий начинается при первом событии, соответствующем установленным критериям. Каждое последующее событие, подходящее под критерии, добавляется в текущую группу. Счетчик времени сбрасывается при добавлении нового события. Группа закрывается, когда проходит установленный временной интервал (например, 5 минут) без поступления новых подходящих событий. Время закрытия группы фиксируется последним событием в группе.

Отображение активной группы
Текущая активная группа событий помечается красной точкой, указывая, что она находится в процессе сбора.

Группировка событий

Фильтры

Для исключения или отображения событий с конкретным значением параметра доступны быстрые фильтры поиска.

  • Если в фильтрах заданы значения для разных параметров, результат будет удовлетворять всем условиям

  • Если указано несколько значений для одного параметра, результат будет удовлетворять любому из значений

Фильтры API Firewall Manager

Виды фильтрации

  • Стационарные фильтры позволяют быстро искать события по таким параметрам, как временной период, тип события, метод, код ответа и приложения

  • Индивидуальная фильтрация по столбцам: каждый столбец таблицы имеет встроенную функциональность фильтрации. Это означает, что можно применить фильтр к любому столбцу, чтобы сузить результаты и найти именно те данные, которые нужны. Например, можное отфильтровать таблицу по дате, времени, IP-адресу, домену, пути или другим параметрам

  • Быстрые фильтры позволяют быстро создавать настраиваемые фильтры на основе данных, полученных из текущих событий. Можно выбирать, какие данные добавить или исключить из поиска: IP-адреса, домены, URL, параметры или коды ответов.

Быстрые фильтры

Сохранение поисковых фильтров

Функционал позволяет сохранять часто используемые комбинации фильтров для быстрого доступа и повторного использования.

Основные возможности:

  • Сохранение фильтра: после настройки фильтра, путем задания критериев поиска, таких как тип события, метод запроса, домен, путь, параметр, приложение и другие параметры, фильтр сохраняется под уникальным именем для последующего использования.

  • Применение сохраненного фильтра: сохраненные фильтры можно применять к новым запросам для быстрого получения результатов по ранее заданным критериям.

  • Удаление фильтров: пользователь может удалять сохраненные фильтры, которые больше не требуются.

Сохранение фильтров

Поисковая строка

Поисковая строка позволяет вводить запросы с использованием атрибутов и модификаторов, которые близки к человеческому языку, что делает процесс ввода запроса интуитивным.
Например:

  • today – поиск любых запросов за сегодня

  • yersterday method:PUT – поиск запросов с методом PUT за вчерашний день

  • last week code:403 – поиск запросов с ошибкой 403 за последнюю неделю

  • url:v1/get_some_data 11/10/2024 – поиск запросов к пути /v1/get_some_data за 11 октября 2024 года

  • domain:webmonitorx.ru 11/01/2024 - 11/10/2024 – поиск запросов к webmonitorx.ru за указанный период

  • ip:23.204.20.150 14/11/2024 11:00 - 14/11/2024 12:59 – поиск запросов с IP-адреса 23.204.20.150 за указанный период

  • application:someweb – поиск запросов по указанному приложению

Если в поисковой строке указаны значения для разных параметров, результат будет удовлетворять всем условиям. Если указаны несколько значений для одного параметра, результат будет удовлетворять любому из них.

Поиск по атрибуту со значением НЕ
Чтобы задать исключающее значение атрибута поиска, добавьте ! перед атрибутом. Например: !ip:111.111.111.111 вернет запросы, отправленные с любого IP‑адреса, кроме 111.111.111.111.

Поиск по типу события

Укажите в строке поиска:

  • unknown_path — неизвестный эндпоинт

  • request_validation_error | validation_error — ошибка валидации, "request blocked" указывается если используется режим блокировки

  • undefined_parameters — Shadow API

  • shadow_api — Shadow API параметр

  • shadow_api_response — Shadow API на ответ

  • response_validation_error — ошибка валидации ответа

Поиск по времени события

Задайте в строке поиска временной интервал. Если временной интервал не задан, отображаются события за последние сутки.
Можно использовать несколько способов, чтобы задать временной интервал:

  • 10/11/2020 - 14/11/2020 – дата

  • 10/11/2020 11:11, 11:30-12:22, 10/11/2020 11:12 - 14/11/2020 12:14 – дата и время (всегда без секунд)

  • >10/01/20 – дата и время относительно определенного момента времени, например:

  • Строковые алиасы:

  • yesterday для вчерашней даты

  • today для сегодняшней даты

  • last <unit> для периода с начала полного прошедшего unit'а до текущей даты

  • <unit> может быть: week, month, year или количество таких unit'ов. Например: last week, last 3 month или last 3 months.

  • this <unit> для текущего unit'а

  • <unit> может быть: week, month, year. Например: this week вернет события за понедельник, вторник и среду на текущей неделе, если сегодня — среда
    Дата указывается в формате ДД/ММ/ГГГГ, где ММ — полный или сокращенный номер месяца: 10/01/2020 или 10/1/2020. Если ГГГГ не указан в дате, используется текущий год. Время указывается в 24‑часовом формате, например: 13:00.

Поиск по приложению

Для поиска по приложению, на адрес которого отправлены запросы, используйте префикс application: или app:.
В качестве значения атрибута используется название приложения, заданное на вкладке Приложения в разделе Приложения. Например: application:'Example application'.

Поиск по коду ответа

Для поиска по кодам ответа используется префикс code:. Например, чтобы найти все запросы с ошибкой 404, можно использовать следующий запрос:

  • code:404

Поиск по IP‑адресу

Для поиска по IP‑адресу используется префикс ip:, после которого вы можете задать:

  • Конкретный IP‑адрес, например 192.168.0.1 — в этом случае будут найдены все запросы, для которых адрес источника запроса соответствует этому IP‑адресу.

  • Часть IP‑адреса: 192.168. — эквивалентно 192.168.0.0. Допускается избыточный формат записи с модификатором * — 192.168.*.

Поиск по методу HTTP‑запроса

Для поиска по методу HTTP‑запроса укажите префикс method:.
GET, POST, PUT, DELETE и OPTIONS в качестве параметра поиска с учетом регистра могут быть указаны без префикса. Для указания всех остальных значений необходимо использовать префикс.

Поиск по домену

Для поиска по домену укажите префиксы d: или domain:.
Без префикса обрабатывается любая строка, которая может быть доменом второго и более уровня. С префиксом может быть указана любая строка.
В домене можно использовать маски: символ * заменяет любое количество символов, символ ? заменяет любой один символ.

Поиск по пути

Для поиска по пути укажите префикс u: или url:.
Без префикса обрабатываются строки, которые начинаются с /. С префиксом может быть указана любая строка.

Поиск по параметру

Для поиска по параметру используйте префикс p:, param: или parameter:.
В значении атрибута могут использоваться маски: символ * заменяет любое количество символов, символ ? заменяет любой один символ.

Поиск по ID запроса

Для поиска по ID запроса используйте префикс request_id:.
Пример: request_id:123a45453f465465b475e675675w65

Поиск по статусу

Укажите в строке поиска:

  • blocked — заблокированный запрос