Configure o. ArcSight ESM Visualizador de consultas

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Crie um visualizador de consulta e defina filtros que incluirão eventos de correlação criados recentemente que serão ingeridos ServiceNow.

    Antes de Iniciar

    Função necessária: Administrador do ArcSight

    Procedimento

    1. Faça login no ArcSight ESM console para criar um visualizador de consulta.
    2. Para criar uma nova consulta, navegue até Arquivo > Novo(a) > Consulta.
      ArcSight ESM: Configuração do visualizador de consulta: Criar
    3. Defina condições para o Visualizador de consulta no Inspecionar/Editar painel.

      ArcSight ESM: Configuração do visualizador de consulta: Criar: Geral
      Nome do CampoDescrição
      Nome Insira um nome para a consulta.
      Consulta em Selecione Evento na lista suspensa.
      Hora de início Para ingerir os dados mais recentes, selecione a data dos eventos a serem ingeridos. Especifique uma data que seja um dia ou alguns dias antes da data atual.
      Nota:
      Não é possível especificar uma data que seja mais de 7 dias anterior à data atual. Se você estiver ingerindo um grande número de eventos, deverá especificar uma data 1 ou 2 dias mais antiga do que a data atual.
      Hora de término Esta é a data atual.
      Limite de linhas O número máximo de eventos que podem ser ingeridos por vez. Especifique um valor menor que 5000 aqui.
    4. Clique em Campos guia.
      ArcSight ESM: Configuração do visualizador de consulta: Criar: Campos
    5. Selecione os campos que devem ser incluídos durante a ingestão.
      Você deve selecionar ID do evento , Nome e Hora de término campos para que a ingestão seja bem-sucedida.
    6. Clique em Adicione colunas "ORDENAR POR" link e selecione ID do evento e especifique a ordem de classificação como Decrescente para garantir que os eventos mais recentes sejam ingeridos.
    7. Clique em Condições guia.
    8. Clique com o botão direito Evento em Condições do evento em Resumo seção.
    9. Clique Nova condição > Raiz > Tipo E selecione o Tipo de evento como Correlação .
      Importante:
      Somente eventos de correlação serão recuperados; os eventos de base para correlações não serão recuperados.

      ArcSight ESM: Configuração do visualizador de consulta: Selecione Tipo
    10. Clique em OK para salvar a consulta.
      A próxima etapa é criar um Visualizador de consulta para esta consulta.
    11. Navegar até Arquivo > Novo(a) > Visualizador de consultas.
      ArcSight ESM: Configuração do visualizador de consulta: Criar visualizador de consulta
      Nome do CampoDescrição
      Nome Insira um nome para o Visualizador de consulta.
      Consulta Selecione a consulta que você acabou de criar.
      Atualizar dados após Especifique a frequência na qual os dados serão atualizados.
    12. Clique em Campos e certifique-se de que os campos obrigatórios ( ID do evento, Nome, Hora de término que você especificou em sua consulta estão selecionados.
    13. Clique em Aplicar Para salvar o Visualizador de consulta.
      O novo Visualizador de consulta que você criou está listado na seção Visualizadores de consulta.
    14. Clique no Visualizador de consulta para ver os dados que estão sendo ingeridos.
      ArcSight ESM: Configurar visualizador de consulta: Concluído