ArcSight ESM クエリビューアーの設定

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • クエリビューアーを作成し、ServiceNow に取り込まれる最近作成された相関イベントを含むフィルターを定義します。

    始める前に

    必要なロール:ArcSight アドミン

    手順

    1. ArcSight ESM コンソールにログインして、クエリビューアーを作成します。
    2. 新しいクエリを作成するには、次に移動します: ファイル > 新規 > クエリ.
      ArcSight ESM:クエリビューアーの設定:作成
    3. [検査/編集 (Inspect/Edit)] パネルでクエリビューアーの条件を定義します。

      ArcSight ESM:クエリビューアーの設定:全般
      フィールド名説明
      名前 クエリの名前を入力します。
      クエリ対象 (Query On) ドロップダウンリストから [イベント] を選択します。
      開始時間 最新のデータを取り込むには、取り込むイベントから日付を選択します。現在の日付よりも 1 日または数日前の日付を指定します。
      注:
      現在の日付よりも 7 日以上古い日付を指定することはできません。多数のイベントを取り込む場合は、現在の日付よりも 1 〜 2 日古い日付を指定する必要があります。
      終了時間 現在の日付です。
      行制限 (Row Limit) 一度に取り込むことができるイベントの最大数。ここでは 5000 未満の値を指定します。
    4. [フィールド] タブをクリックします。
      ArcSight ESM:クエリビューアーの設定:作成:フィールド
    5. 取り込み時に含める必要があるフィールドを選択します。
      取り込みを成功させるには、[イベント ID][名前]、および [終了時刻] フィールドを選択する必要があります。
    6. [[ORDER BY] 列を追加 (Add 'ORDER BY' columns)] リンクをクリックして [イベント ID] フィールドを選択し、ソート順を [降順] に指定して、最新のイベントが取り込まれるようにします。
    7. [条件] タブをクリックします。
    8. [サマリー] セクションの [イベント条件][イベント] を右クリックします。
    9. クリック 新しい条件 > ルート > タイプ をクリックし、[イベントタイプ] で [相関] を選択します。
      重要:
      相関イベントのみが取得されます。相関のベースイベントは取得されません。

      ArcSight ESM:クエリビューアーの設定:タイプの選択
    10. [OK] をクリックしてクエリを保存します。
      次のステップでは、このクエリのクエリビューアーを作成します。
    11. 移動先 ファイル > 新規 > クエリビューアー.
      ArcSight ESM:クエリビューアーの設定:クエリビューアーの作成
      フィールド名説明
      名前 クエリビューアーの名前を入力します。
      クエリ 作成したクエリを選択します。
      データをリフレッシュする間隔 (Refresh Data After) データが更新される頻度を指定します。
    12. [フィールド] タブをクリックし、クエリで指定した必須フィールド ([イベント ID]、[名前]、[終了時刻]) が選択されていることを確認します。
    13. [適用] をクリックしてクエリビューアーを保存します。
      作成した新しいクエリビューアーが [クエリビューアー] セクションに表示されます。
    14. クエリビューアーをクリックして、取り込まれたデータを確認します。
      ArcSight ESM:クエリビューアーの設定:完了