Перейти к содержанию

Работа с событиями

Раздел События служит для отображения событий, происходящих в процессе валидации трафика на соответствие OAS нодами. Событием является отклонение запроса от спецификации.

Доступны следующие механизмы поиска:

  • Фильтры для выбора критериев поиска

  • Поисковая строка

Для фильтрации событий можно использовать строку поиска, настроить поисковый фильтр вручную, используя кнопки фильтров, или выбирать нужные данные прямо из таблицы.

Фильтры можно сохранять, чтобы использовать их в будущем.

Значения, установленные в фильтрах, автоматически дублируются в поисковой строке. Значения, указанные в поисковой строке, автоматически дублируются в фильтрах.

События API Firewall Manager

События объединяются в группы на основе определённых критериев и временного интервала, чтобы обеспечить удобство анализа. События собираются в группы в течение заданного промежутка времени.

Для объединения событий в группы используются следующие параметры:

  • Тип события

  • Метод запроса

  • Домен

  • Путь

  • Параметры

  • Приложение

Таблица с перечнем групп событий включает следующие поля:

  • Дата и длительность: дата и время запроса, общая длительность обработки группы запросов
  • События: количество событий
  • Тип: тип cобытия
  • IP/Источник: IP‑адрес первого события
  • Метод: метод запроса
  • Домен/Путь: домен и путь, на которые отправлен запрос
  • Параметр: параметр запроса, который не соответствует спецификации
  • Цветовой индикатор: отражает режим работы ноды: оранжевый, если запрос обнаружен, но не заблокирован (установлен режим мониторинга трафика, LOG_ONLY); красный, если запрос обнаружен и заблокирован, BLOCK
  • Код: код ответа на запрос

Чтобы посмотреть детальную информацию о каждом событии в группе, разверните её, нажав на данные в столбце Дата и длительность.

Типы событий

Тип события Определение
Неизвестный эндпоинт unknown_path Обнаружен запрос на несуществующий или неправильно указанный URL-адрес
Ошибка валидации запроса request_validation_error Запрос не соотвествует OpenAPI спецификации
Ошибка валидации ответа response_validation_error Ответ не соотвествует OpenAPI спецификации
Неопределенные параметры undefined_parameters В запросе обнаружен неописанный в спецификации параметр
Shadow API Эндпоинт shadow_api Обнаружен запрос на отсутствующий в спецификации эндпоинт
Shadow API Ответ shadow_api_response Получен ответ, описание которого отсутствует в спецификации

Алгоритм группировки
Сбор событий начинается при первом событии, соответствующем установленным критериям. Каждое последующее событие, подходящее под критерии, добавляется в текущую группу. Счетчик времени сбрасывается при добавлении нового события. Группа закрывается, когда проходит установленный временной интервал (например, 5 минут) без поступления новых подходящих событий. Время закрытия группы фиксируется последним событием в группе.

Отображение активной группы
Текущая активная группа событий помечается красной точкой, указывая, что она находится в процессе сбора.

Группировка событий

Фильтры

Для исключения или отображения событий с конкретным значением параметра доступны быстрые фильтры поиска.

  • Если в фильтрах заданы значения для разных параметров, результат будет удовлетворять всем условиям.

  • Если указано несколько значений для одного параметра, результат будет удовлетворять любому из значений.

Фильтры API Firewall Manager

Виды фильтрации

  • Стационарные фильтры позволяют быстро искать события по таким параметрам, как временной период, тип события, метод, код ответа и приложения.

  • Сортировка по столбцам: можно применить сортировку к любому столбцу, чтобы сузить результаты и найти именно те данные, которые нужны. Например, можно отсортировать таблицу по дате, времени, IP-адресу, домену, пути или другим параметрам.

  • Быстрые фильтры позволяют быстро создавать настраиваемые фильтры на основе данных, полученных из текущих событий. Можно выбирать, какие данные добавить или исключить из поиска: IP-адреса, домены, URL, параметры или коды ответов.

Быстрые фильтры

Сохранение поисковых фильтров

Функционал позволяет сохранять часто используемые комбинации фильтров для быстрого доступа и повторного использования.

Основные возможности:

  • Сохранение фильтра: после настройки фильтра, путем задания критериев поиска, таких как тип события, метод запроса, домен, путь, параметр, приложение и другие параметры, фильтр сохраняется под уникальным именем для последующего использования.

  • Применение сохраненного фильтра: сохраненные фильтры можно применять к новым запросам для быстрого получения результатов по ранее заданным критериям.

  • Удаление фильтров: пользователь может удалять сохраненные фильтры, которые больше не требуются.

Сохранение фильтров

Поисковая строка

Поисковая строка позволяет вводить запросы с использованием атрибутов и модификаторов, которые близки к человеческому языку, что делает процесс ввода запроса интуитивным.
Например:

  • today – поиск любых запросов за сегодня

  • yersterday method:PUT – поиск запросов с методом PUT за вчерашний день

  • last week code:403 – поиск запросов с ошибкой 403 за последнюю неделю

  • url:v1/get_some_data 11/10/2024 – поиск запросов к пути /v1/get_some_data за 11 октября 2024 года

  • domain:webmonitorx.ru 11/01/2024 - 11/10/2024 – поиск запросов к webmonitorx.ru за указанный период

  • ip:23.204.20.150 14/11/2024 11:00 - 14/11/2024 12:59 – поиск запросов с IP-адреса 23.204.20.150 за указанный период

  • application:someweb – поиск запросов по указанному приложению

Если в поисковой строке указаны значения для разных параметров, результат будет удовлетворять всем условиям. Если указаны несколько значений для одного параметра, результат будет удовлетворять любому из них.

Поиск по атрибуту со значением НЕ
Чтобы задать исключающее значение атрибута поиска, добавьте ! перед атрибутом. Например: !ip:111.111.111.111 вернет запросы, отправленные с любого IP‑адреса, кроме 111.111.111.111.

Поиск по типу события

Укажите в строке поиска:

  • unknown_path — неизвестный эндпоинт

  • request_validation_error — запрос не соотвествует OpenAPI спецификации, request blocked указывается, если используется режим блокировки

  • response_validation_error — ответ не соотвествует OpenAPI спецификации

  • undefined_parameters — неопределенные параметры (Shadow API)

  • shadow_api — Shadow API Эндпоинт

  • shadow_api_response — Shadow API Ответ

Поиск по времени события

Задайте в строке поиска временной интервал. Если временной интервал не задан, отображаются события за последние сутки.
Можно использовать несколько способов, чтобы задать временной интервал:

  • 10/11/2020 - 14/11/2020 – дата

  • 10/11/2020 11:11, 11:30-12:22, 10/11/2020 11:12 - 14/11/2020 12:14 – дата и время (всегда без секунд)

  • >10/01/20 – дата и время относительно определенного момента времени, например:

  • Строковые алиасы:

  • yesterday для вчерашней даты

  • today для сегодняшней даты

  • last <unit> для периода с начала полного прошедшего unit'а до текущей даты

  • <unit> может быть: week, month, year или количество таких unit'ов. Например: last week, last 3 month или last 3 months.

  • this <unit> для текущего unit'а

  • <unit> может быть: week, month, year. Например: this week вернет события за понедельник, вторник и среду на текущей неделе, если сегодня — среда
    Дата указывается в формате ДД/ММ/ГГГГ, где ММ — полный или сокращенный номер месяца: 10/01/2020 или 10/1/2020. Если ГГГГ не указан в дате, используется текущий год. Время указывается в 24‑часовом формате, например: 13:00.

Поиск по приложению

Для поиска по приложению, на адрес которого отправлены запросы, используйте префикс application: или app:.
В качестве значения атрибута используется название приложения, заданное на вкладке Приложения в разделе Приложения. Например: application:'Example application'.

Поиск по коду ответа

Для поиска по кодам ответа используется префикс code:. Например, чтобы найти все запросы с ошибкой 404, можно использовать следующий запрос:

  • code:404

Поиск по IP‑адресу

Для поиска по IP‑адресу используется префикс ip:, после которого вы можете задать:

  • Конкретный IP‑адрес, например 192.168.0.1 — в этом случае будут найдены все запросы, для которых адрес источника запроса соответствует этому IP‑адресу.

  • Часть IP‑адреса: 192.168. — эквивалентно 192.168.0.0. Допускается избыточный формат записи с модификатором * — 192.168.*.

Поиск по методу HTTP‑запроса

Для поиска по методу HTTP‑запроса укажите префикс method:.
GET, POST, PUT, DELETE и OPTIONS в качестве параметра поиска с учетом регистра могут быть указаны без префикса. Для указания всех остальных значений необходимо использовать префикс.

Поиск по домену

Для поиска по домену укажите префиксы d: или domain:.
Без префикса обрабатывается любая строка, которая может быть доменом второго и более уровня. С префиксом может быть указана любая строка.
В домене можно использовать маски: символ * заменяет любое количество символов, символ ? заменяет любой один символ.

Поиск по пути

Для поиска по пути укажите префикс u: или url:.
Без префикса обрабатываются строки, которые начинаются с /. С префиксом может быть указана любая строка.

Поиск по параметру

Для поиска по параметру используйте префикс p:, param: или parameter:.
В значении атрибута могут использоваться маски: символ * заменяет любое количество символов, символ ? заменяет любой один символ.

Поиск по ID запроса

Для поиска по ID запроса используйте префикс request_id:.
Пример: request_id:123a45453f465465b475e675675w65

Поиск по статусу

Укажите в строке поиска:

  • blocked — заблокированный запрос