分组后事件结果不对？

[sagasm]

iMonitor v2.1 分组前： 分组后： 是否分组后的事件计数应该等于1747+2167+875+2033==分组前的4161个事件？

[wecooperate]

分组在过滤规则之前，分组个数是统计全部事件的，因为部分事件被过滤掉了（比如上面的OpenProcess的分组匹配不到规则就会被隐藏了） 期望如果是先过滤，后分组，后面把分组规则放到过滤规则的后面去。

[wecooperate]

临时解决方法：开启一下丢弃过滤后的事件，这样就不会被已经过滤的事件影响了

[sagasm]

如果按照operation分组，是否缺失了第一图的OpenProcess？

[wecooperate]

如果按照operation分组，是否缺失了第一图的OpenProcess？

见上面回复，因为是先分组后过滤，分组后的OpenProcess对应的事件被过滤掉了，导致不显示了

[sagasm]

如果过滤前分组确实有意义的话可以考虑每个分组有个过滤前后的选项；另外，希望新建分组以后也可以修改分组名称。

[wecooperate]

如果过滤前分组确实有意义的话可以考虑每个分组有个过滤前后的选项；另外，希望新建分组以后也可以修改分组名称。

1. 过滤、分组的前后关系，下一个版本再优化一下
2. 分组跟工作区不一样，本身配置非常简单，需要重命名的时候直接新建立一个分组就好了

[wecooperate]

2.1.1 版本优化分组跟过滤的逻辑（从之前先分组再过滤，调整成先过滤再分组） 这里会导致几个小影响：

1. 先过滤再分组，会导致存在分组的情况没法使用增量过滤的方式（比如之前添加规则的时候，是使用增量过滤的，如果有了分组则需要重新触发一次全量过滤匹配）
2. 分组后，过滤规则改变，显示的数据有可能会变化比较多，会造成数据不正确的错觉，没有之前直观，实际表现是正常的
3. 如果仍然需要先分组，后过滤的方式，可以分组后，丢弃被过滤的事件后再设置过滤