События и логи

Экран «События и логи» предназначен для оперативного анализа первичных событий, логов и сообщений, поступающих в систему и складываемых в потоки данных.

Обзор экрана

Экран «События и логи» доступен из основного меню Просмотр данных → Логи

доступ к разделу и его содержимому

регулируется ролевой моделью: права зависят от назначенной пользователю роли

На экране представлены следующие данные и элементы управления:

• Строка запроса (MQL) со встроенным конструктором, выбором источника данных и индекса (опционально)
• Датапикер временного интервала и гистограмма распределения событий во времени
• Выбор сохраненных карт логов и управление ими
• Список/таблица событий с возможностью открыть карточку любого из них
• Панель доступных/выбранных полей со статистикой популярных значений
• Переключатель автоматического и ручного обновления страницы
• Кнопка экспорта отфильтрованных данных в файл

Источник данных — это один или несколько потоков, откуда берутся события.
Выбор источников доступен в строке запроса и/или через конструктор. Можно выбрать сразу несколько потоков. По умолчанию используются все доступные потоки текущей рабочей группы.

Помимо потоков своей рабочей группы, пользователю видны также и расшаренные потоки.

Если карта привязана к индексу, список источников сужается до потоков, входящих в индекс.

Просмотр данных

Отображаются последние релевантные события, удовлетворяющие заданным условиям фильтрации, заданному временному промежутку, а также выбранному индексу (при его наличии).

События подгружаются пакетами по 500 штук.

На выбор доступно 2 режима представления — в виде списка и таблицы.

Список

События отображаются в виде строк (представление по умолчанию).

• Всегда как минимум отображаются дата, время события и иконка потока данных
• Пользователь может управлять выводимым набором полей
• Для облегчения анализа значения полей визуально подсвечиваются цветом
• Клик по значениям открывает быстрый фильтр
• Вывод длинных событий обрезается до 1000 символов на каждый лог
• Выбор любого из событий открывает его карточку

Таблица

События отображаются в виде таблицы: заголовками столбцов являются ключи первичного события, а содержимым ячеек — соответствующие ключу значения.

• Первой колонкой всегда будет дата и время события, ее нельзя удалить из таблицы
• Пользователь может управлять выводимым набором полей
• Ограничений по количеству выбранных полей нет, при большом их числе появляется горизонтальный скроллинг
• Выбор любого из событий открывает его карточку
• Через меню дополнительных действий в ячейках можно открыть быстрый фильтр

Для массивов отображается первый элемент

Набор полей

Поля - это список доступных атрибутов (ключей) из первичных событий, которые пользователь может выбрать для отображения в таблице или списке логов.

Панель полей находится слева от списка/таблицы событий и содержит:

• Доступные поля — все поля, найденные в событиях за выбранный временной интервал
• Выбранные поля — поля, отмеченные пользователем для отображения

Список полей формируется автоматически на основе:

• Структуры событий в выбранных потоках данных (без индекса)
• Схемы индексной таблицы (при работе с индексом)

Влияние выбранных полей на отображение событий

• Представление «Список»:
  • Если не выбрано ни одно поле - отображается все событие целиком
  • Если выбраны поля - отображаются только они
• Представление «Таблица»:
  • Если не выбрано ни одно поле - отображается только столбец с датой и временем
  • Если выбранные поля есть - в таблице отображаются только они + колонка с датой и временем

Панель со списком полей можно сворачивать/разворачивать и сохранять выбранное состояние в карте.

Статистика по полям

Выбор любого из полей открывает всплывающее окно с топ‑10 популярных значений по убыванию частоты, указанием количества и доли каждого значения в рамках выбранного интервала и фильтра.

Для числовых полей дополнительно рассчитываются минимальное, среднее и максимальное значения.

Клик по значениям открывает быстрый фильтр, позволяющий включить или исключить значение из фильтра.

В списке полей через меню дополнительных действий поддерживаются массовые операции:

• Выбрать все
• Сбросить
• Инвертировать выбор

Типы полей и форматы дат

Типы полей определяются динамически по данным в выбранном интервале времени:

• Если для одного и того же поля в разных логах встречаются смешанные типы значений (например, number и date), то тип поля будет установлен как string
• Если для одного поля встречаются значения int и float, то тип будет определен как number
• Все определяемые форматы дат будут распознаны как date
• Массив со смешанными типами элементов получит тип string
• При появлении нового значения, которое не соответствует ранее определенному типу поля, тип будет переопределен в соответствии с правилами выше
• Тип определяется только для первых 1000 полей из каждого события

Поле будет распознано как дата/время, если значение соответствует одному из форматов:

• 2025-07-19
• 07/19/2025
• 07/19/25
• July 19, 2025
• 2025-07-19T14:30
• 2025-07-19T14:30:45
• 2025-07-19T14:30:45.123
• 2025-07-19T14:30:45Z
• 2025-07-19T14:30:45+03:00
• 2025-07-19T14:30:45-05:00

неопределенный тип

Если для поля не удалось определить тип, оно будет отображаться с иконкой вопроса.
Оно не будет доступно для фильтрации, отображения в списке/таблице и не будет учитываться в статистике.

Гистограмма и счетчики

Гистограмма позволяет наглядно просмотреть количество событий за выбранный промежуток времени.

• Над гистограммой отображается количество найденных событий и временной диапазон
• Детализация (интервал) гистограммы выбирается автоматически или задается пользователем
• Соотношение выбранной детализации и подписей временных точек варьируется от секунды до месяца
• При недопустимом значении вручную установленного интервала детализации, система приведет ее к ближайшему допустимому шагу
• При наведении на бар отображается период в соответствии с выбранной детализацией (начало - конец) и количество поступивших логов

Обновление данных

Обновление данных в карте логов происходит автоматически при изменении фильтров или временного интервала. При этом выводятся релевантные данные для текущих настроек карты: перерисовывается гистограмма, обновляются: список/таблица с событиями, счетчик событий и список полей для статистики.

Доступно ручное и автоматическое обновление.

Периодичность автообновления можно изменить в диапазоне от 5 секунд до 5 минут или полностью отключить.

При автоматическом обновлении выбранная карта логов остается активной, учитывается заданный интервал, выбранные источники и индекс (при наличии).

Выбранное значение сохраняется при переключении между вкладками в карте логов и при смене карт.

По умолчанию автоматическое обновление выключено

Карточка первичного события

Карточка открывается кликом по событию в таблице или списке событий.

Заголовком карточки является время события.

Детальная информация по событию поддерживает два режима отображения:

• Таблица
  • Всегда отображаются системные поля streamId, @timestamp и aggregatedAt
  • Рядом с ключом отображаются типы полей: date, string, number, boolean, UUID.
  • Клик по значению позволяет его добавить или исключить его из фильтра
  • Доступен поиск по ключу и значению, а также полноэкранный режим
• JSON
  • Содержимое можно скопировать в буфер обмена
  • Доступен поиск по ключу и значению, а также полноэкранный режим

Поиск и фильтры

Фильтрационные запросы выполняются на MQL (Monq Query Language), в котором за основу взят синтаксис Lucene.

• Интервал времени задается датапикером в верхнем правом углу
• Строка запросов поддерживает простой поиск по значениям событиям, конструктор запросов и MQL-синтаксис запросов
• Конструктор запросов: 𝒇+ добавляет условие (поле, оператор, значение) к общему запросу
• В строке поиска доступны подсказки по полям
• Список доступных полей формируется согласно полям из отображаемых событий
• Поиск по всем полям события выполняется с регистронезависимым сравнением значений
• Поддерживаются логические операторы AND / OR и группировка скобками
• Клик по значению в списке или таблице логов позволяет добавлять или исключать его из фильтра

Комбинация AND и OR

При смешении логических операторов приоритет AND выше OR.
Для ожидаемого результата части с OR обрамляйте круглыми скобками.

Выбор потоков

Список доступных потоков формируется так:

• Если индекс не выбран — отображаются все доступные пользователю потоки текущей рабочей группы и расшаренные потоки
• Если индекс выбран — отображаются только потоки, входящие в выбранный индекс

Возможен множественный выбор потоков. Если не выбран ни один поток — фильтрация выполняется по всем потокам из списка.
По умолчанию выбраны все доступные пользователю потоки.

Простой поиск по значению

Классический текстовый поиск значения во всех полях события.

Искомое значение должно вводиться либо в совсем пустую строку, либо строго справа от блочков конструктора (если используется совместно).

Нельзя вставлять значение между блочками конструктора!

искомый текст не должен содержать двоеточия

Для системы двоеточие является оператором для работы с использованием синтаксиса MQL.
Если в искомом значении есть двоеточие, используйте синтаксис или конструктор.

Поиск с применением синтаксиса

Позволяет быстро составлять запросы вручную пользователям, хорошо знакомым с синтаксисом.

Основные операторы

• Логические операторы - AND / OR
• Операторы сравнения:
  • Равно - оператор не используется, например: field:value
  • Не равно - !, например: field:!value
• Содержит ~ / Не содержит !~
• Пустой !exists() / Непустой exists()
• Содержит все — <название ключа>:["<Значение1>","<Значение2>"]
• Содержит любое (равно одному из) — <название ключа>:~["<Значение1>","<Значение2>"]
• Не содержит любое (не равно одному из) — <название ключа>:!~["<Значение1>","<Значение2>"]

⚠️ Использование кавычек

• Обращение без кавычек можно использовать только для ключей, которые начинаются с буквы английского / русского алфавитов или подчеркивания _, и содержат в себе только:

  • буквы английского или русского алфавитов
  • подчеркивания _
  • цифры 0-9
  • знак доллара $

  Для всех остальных ключей необходимо использовать кавычки, например:
  alerts."this string has spaces".annotations.summary:!~ "LABELS".

• Если кавычки есть в значении ключа, то их нужно экранировать через \, например:
  alerts.annotations.summary:"request \"Hello, world\" failed".

подробности использования синтаксиса → Описание формата запросов логов

Конструктор запросов

Конструктор — это графический способ собрать условия (блоки) по схеме «поле — оператор — значение».
Он активируется нажатием на кнопку добавления нового запроса 𝒇+ или на уже существующий блок в поисковой строке, а также в окне создания новой карты логов.

• В поисковой строке блоки по умолчанию объединяются логическим AND, но также поддерживается логическое OR и группировка скобками
• Собранный запрос можно сохранить как блок в строке поиска (имя присваивается автоматически: «Запрос A», «Запрос B», ...). Новый блок вставляется в позицию каретки ввода.
• Собранный в конструкторе запрос в любой момент можно развернуть в текстовую форму

Для редактирования созданного конструктором запроса, необходимо кликнуть по его названию. В открывшемся окне будут отображены текущие настройки. В них можно внести изменения и нажать Применить

Список доступных операторов

• Равно / Не равно
• Содержит / Не содержит
• Пустой / Непустой

Комбинированный режим

Применяется, когда одна часть запроса собрана в конструкторе, а другая - написана вручную.
Варианты применения:

1. После одного или нескольких блочков запроса стоит одно условие, написанное с применением синтаксиса

2. После одного или нескольких блочков запроса стоит несколько условий, написанных с применением синтаксиса

Быстрый фильтр

Быстрый фильтр позволяет быстро добавлять или исключать условия в запрос по клику на значение в следующих местах:

• Список логов
• Таблица логов
• Карточка лога (табличное представление)
• Панель доступных/выбранных полей → всплывающее окно со статистикой

По умолчанию быстрый фильтр является операцией сравнение - равно / не равно.
Однако если значение длиннее 100 символов, в запрос оно добавляется в усеченном виде (первые 100 символов), а оператор автоматически меняется на содержит / не содержит

Временной интервал

Временной промежуток задается через датапикер.
Значение по умолчанию — последние 30 минут.

Возможно как использование готовых шорткатов, так и выбор конкретной даты и времени начала и конца интервала.

Выбранное значение может быть сохранено в текущей или новой карте логов.

если выбран индекс

Глубина хранения данных индекса составляет 90 дней.
Таким образом если в фильтре используется индекс, нет смысла в датапикере выбирать больший временной диапазон.

Удаление запросов

Для удаления блоков конструктора и синтаксиса установите курсор перед удаляемым элементом и нажмите клавишу Backspace

Блоки запросов можно удалять по отдельности: клик по блоку + кнопка удаления во всплывающем окне.

Для полной очистки поисковой строки нажмите ✕ в ее правой части.

При удалении остается неизменяемая часть запроса - выбранные потоки.

Индексы

Для ускоренного поиска и фиксированного состава полей можно работать с индексами.

При выбранном индексе состав и типы полей берутся из индексной таблицы, а результаты поиска и статистика соответствуют выбранному индексу и заданному интервалу времени.

Список индексов находится в левой части фильтрационного запроса.

Ссылка для перехода к экрану управления индексами находится в нижней части списка индексов.

Карты логов

Карты логов объединяют в себе настройки фильтрации и персонализации отображения экрана событий и логов, такие как:

• Тип представления (список/таблица)
• Интервал во умолчанию
• Индекс
• Фильтрационный запрос
• Состав полей

Типы карт

Существуют 3 типа карт логов:

• Системная: изменения невозможны
  Доступно только действие Сохранить как для создания копии карты с текущими настройками
• Групповая: доступна всем участникам рабочей группы с достаточными правами
• Личная: видна только владельцу

Список сохраненных карт

При переходе на экран по умолчанию открывается системная карта.

Список сохраненных карт логов свернут и чтобы его просмотреть необходимо кликнуть по названию системной карты «События и логи».

В списке карт доступны следующие действия:

• Создать новую карту
• Выбрать необходимую карту для отображения событий и логов по заданным в ней условиям
• Удалить карту или открыть ее карточку для редактирования (кроме системной)
• Закрепить список карт в развернутом виде.

Создание карты логов

Для создания карты логов выполните следующие действия:

1. Разверните список карт, если он свернут
2. Нажмите кнопку +
3. Заполните форму «Новая карта логов»
   • Задайте название карты
     Название должно быть уникально в рамках выбранной рабочей группы среди карт одного вида
   • Укажите уровень доступа к карте
     Если карта логов должна быть доступна только вам - «Личный», если всем членам рабочей группы - «Общий»
   • Определите вид по умолчанию
     Представления событий в виде списка или таблицы и будет ли отображаться панель настройки полей
   • Укажите интервал по умолчанию
   • При необходимости выберите индекс
   • Создайте запрос
     Можно использовать конструктор или написать его вручную (см. описание формата и синтаксиса)
   • Настройте поля по умолчанию
     Пользователь может управлять выводимым набором полей: формируется по полям последних событий (или по индексной таблице, если индекс выбран)
     
     • Без индекса: список формируется по последним 500 событиям за выбранный интервал и по выбранным источникам данных
     • С индексом: используется полный состав полей индексной таблицы (выбранный интервал на состав полей не влияет)
     • Существует ограничение по количеству полей каждого отдельного события: не более 1000
4. Нажмите кнопку Создать

После сохранения карта добавляется в конец списка.

Редактирование карты логов

Любую вручную созданную карту логов можно отредактировать.

На выбранной карте логов можно внести любые изменения в условия фильтрации. При этом рядом с названием карты появляется цветовая индикация, которая указывает на наличие несохраненных изменений.

Внесенные изменения можно сохранить как для текущей карты нажатием на кнопку Сохранить изменения, так и в виде новой карты через меню дополнительных действий → «Сохранить как»

Отменить внесенные несохраненные изменения можно через меню дополнительных действий → «Сбросить изменения» или переключением на другую карту.

Для редактирования остальных настроек нажмите на значок карандаша рядом с названием карты или через меню дополнительных действий → «Редактировать» в списке карт.

В карточке настроек внесите необходимые изменения и нажмите Сохранить изменения

изменения сохраняются без дополнительного подтверждения

системную карты редактировать нельзя

Однако можно использовать ее как основу: внести изменения и сохранить как новую карту

Удаление карты логов

Любую вручную созданную карту логов можно удалить.

Для удаления в списке карт нажмите на значок дополнительных действий → «Удалить».
Также кнопка удаления доступна в режиме редактирования.

В модальном окне подтвердите действие и карта будет удалена.

После удаления выполняется переключение на системную карту.

Экспорт

Отфильтрованные события можно экспортировать в файл.
Для этого используйте кнопку Экспорт над списком/таблицей логов.

• Структура документа будет сформирована на основании выбранных полей и условий фильтрации
• Если ни одно поле не выбрано - будут выгружены все поля
• Поля streamId, @timestamp и aggregatedAt являются обязательными и всегда присутствуют в выгрузке