Richten Sie den Abfrage-Viewer ArcSight ESM ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Erstellen Sie einen Abfrage-Viewer, und definieren Sie Filter, die kürzlich erstellte Korrelationsereignisse enthalten, die erfasst werden ServiceNow.

    Vorbereitungen

    Erforderliche Rolle: ArcSight-Administrator

    Prozedur

    1. Melden Sie sich bei der -Konsole ArcSight ESM an, um einen Abfrage-Viewer zu erstellen.
    2. Um eine neue Abfrage zu erstellen, navigieren Sie zu Datei > Neu > Abfragean.
      ArcSight ESM: Setup des Abfrage-Viewers: Erstellen
    3. Definieren Sie Bedingungen für den Abfrage-Viewer im Bereich „Untersuchen/Bearbeiten“.

      ArcSight ESM: Setup des Abfrage-Viewers: Erstellen: Allgemein
      FeldnameBeschreibung
      Name Geben Sie einen Namen für die Abfrage ein.
      Abfrage ein Wählen Sie in der Dropdown-Liste Ereignis aus.
      Startzeit Um die neuesten Daten zu erfassen, wählen Sie das Datum aus, an dem die Ereignisse erfasst werden sollen. Geben Sie ein Datum an, das einen Tag oder einige Tage vor dem aktuellen Datum liegt.
      Hinweis:
      Sie können kein Datum angeben, das mehr als 7 Tage älter als das aktuelle Datum ist. Wenn Sie eine große Anzahl von Ereignissen erfassen, müssen Sie ein Datum angeben, das 1 oder 2 Tage älter als das aktuelle Datum ist.
      Endzeit Dies ist das aktuelle Datum.
      Zeilenlimit Die maximale Anzahl von Ereignissen, die gleichzeitig erfasst werden können Geben Sie hier einen Wert kleiner als 5000 an.
    4. Klicken Sie auf die Registerkarte Felder.
      ArcSight ESM: Setup des Abfrage-Viewers: Erstellen: Felder
    5. Wählen Sie die Felder aus, die bei der Erfassung einbezogen werden müssen.
      Sie müssen die Felder Ereignis-ID, Nameund Endzeit auswählen, damit die Erfassung erfolgreich ist.
    6. Klicken Sie auf den Link „SORTIEREN NACH“-Spalten hinzufügen, wählen Sie das Feld Ereignis-ID aus, und geben Sie Absteigend als Sortierreihenfolge an, um sicherzustellen, dass die neuesten Ereignisse erfasst werden.
    7. Klicken Sie auf die Registerkarte Bedingungen.
    8. Klicken Sie mit der rechten Maustaste auf Ereignis unter Ereignisbedingungen im Abschnitt Zusammenfassung.
    9. Klicken Neue Bedingung > Stamm > Typ und wählen Sie als Ereignistyp Korrelationaus.
      Wichtig:
      Nur Korrelationsereignisse werden abgerufen. Basisereignisse für Korrelationen werden nicht abgerufen.

      ArcSight ESM: Setup des Abfrage-Viewers: Typ auswählen
    10. Klicken Sie auf OK, um die Abfrage zu speichern.
      Der nächste Schritt besteht darin, einen Abfrage-Viewer für diese Abfrage zu erstellen.
    11. Navigieren zu Datei > Neu > Abfrage-Vieweran.
      ArcSight ESM: Setup des Abfrage-Viewers: Abfrage-Viewer erstellen
      FeldnameBeschreibung
      Name Geben Sie einen Namen für den Abfrage-Viewer ein.
      Abfrage Wählen Sie die soeben erstellte Abfrage aus.
      Daten aktualisieren nach Geben Sie die Häufigkeit an, mit der die Daten aktualisiert werden sollen.
    12. Klicken Sie auf die Registerkarte Felder, und vergewissern Sie sich, dass die in der Abfrage angegebenen Pflichtfelder (Ereignis-ID, Name, Endzeit) ausgewählt sind.
    13. Klicken Sie auf Übernehmen, um den Abfrage-Viewer zu speichern.
      Der von Ihnen neu erstellte Abfrage-Viewer wird im Abschnitt „Query Viewers“ (Abfrage-Viewers) aufgeführt.
    14. Klicken Sie auf den Abfrage-Viewer, um die erfassten Daten anzuzeigen.
      ArcSight ESM: Abfrage-Viewer einrichten: Abgeschlossen