Configurer la visionneuse de ArcSight ESM requêtes

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Créez une visionneuse de requêtes et définissez des filtres qui incluront les événements de corrélation récemment créés qui seront ingérés ServiceNow.

    Avant de commencer

    Rôle requis : Administrateur ArcSight

    Procédure

    1. Connectez-vous à la ArcSight ESM console pour créer une visionneuse de requêtes.
    2. Pour créer une nouvelle requête, accédez à Fichier > Nouveau > Requête.
      ArcSight ESM : configuration de la visionneuse de requête : créer
    3. Définissez les conditions de la visionneuse de requêtes dans le panneau Inspecter/Modifier .

      ArcSight ESM : Configuration de la visionneuse de requêtes : Créer : Général
      Nom de champDescription
      Nom Saisissez un nom pour la requête.
      Requête sur Sélectionnez Événement dans la liste déroulante.
      Heure de début Pour ingérer les données les plus récentes, sélectionnez la date des événements à ingérer. Spécifiez une date antérieure d’un jour ou de quelques jours à la date actuelle.
      Remarque :
      Vous ne pouvez pas spécifier une date postérieure de plus de 7 jours à la date actuelle. Si vous ingérez un grand nombre d’événements, vous devez spécifier une date antérieure de 1 ou 2 jours à la date actuelle.
      Heure de fin Il s’agit de la date du jour.
      Limite de ligne Le nombre maximal d’événements qui peuvent être ingérés à la fois. Spécifiez ici une valeur inférieure à 5 000.
    4. Cliquez sur l’onglet Champs .
      ArcSight ESM : configuration de la visionneuse de requêtes : Créer : Champs
    5. Sélectionnez les champs qui doivent être inclus lors de l’ingestion.
      Vous devez sélectionner les champs ID d’événement, Nom et Heure de fin pour que l’ingestion réussisse.
    6. Cliquez sur le lien Ajouter des colonnes « TRIER PAR » et sélectionnez le champ ID d’événement et spécifiez l’ordre de tri par ordre décroissant pour vous assurer que les derniers événements sont ingérés.
    7. Cliquez sur l’onglet Conditions .
    8. Cliquez avec le bouton droit sur Événement sous Conditions de l’événement dans la section Résumé .
    9. Cliquer sur Nouvelle condition > Racine > Type et sélectionnez le type d’événement Corrélation.
      Important :
      Seuls les événements de corrélation seront récupérés ; Les événements de base pour les corrélations ne seront pas récupérés.

      ArcSight ESM : configuration de la visionneuse de requêtes : sélectionner le type
    10. Cliquez sur OK pour enregistrer la requête.
      L’étape suivante consiste à créer une visionneuse de requêtes pour cette requête.
    11. Accédez à la Fichier > Nouveau > Visionneuse de requêtes.
      ArcSight ESM : configuration de la visionneuse de requêtes : créer une visionneuse de requêtes
      Nom de champDescription
      Nom Entrez un nom pour la visionneuse de requêtes.
      Requête Sélectionnez la requête que vous venez de créer.
      Actualiser les données après Spécifiez la fréquence à laquelle les données doivent être actualisées.
    12. Cliquez sur l’onglet Champs et assurez-vous que les champs obligatoires (ID d’événement, Nom, Heure de fin) que vous avez spécifiés dans votre requête sont sélectionnés.
    13. Cliquez sur Appliquer pour enregistrer la visionneuse de requêtes.
      La nouvelle visionneuse de requêtes que vous avez créée est répertoriée dans la section Visionneuses de requêtes.
    14. Cliquez sur la visionneuse de requêtes pour afficher les données ingérées.
      ArcSight ESM : configuration de la visionneuse de requêtes : terminée