ArcSight ESM 쿼리 뷰어 설정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기1분

    • 쿼리 뷰어를 만들고 최근에 ServiceNow만든 상관관계 이벤트를 포함할 필터를 정의합니다.

    시작하기 전에

    필요한 역할: ArcSight 관리자

    프로시저

    1. 콘솔에 ArcSight ESM 로그인하여 쿼리 뷰어를 생성합니다.
    2. 새 쿼리를 만들려면 다음으로 이동합니다. 파일 > 신규 > 쿼리.
      ArcSight ESM: 쿼리 뷰어 설정: 생성
    3. Inspect/Edit 패널에서 Query Viewer에 대한 조건을 정의합니다.

      ArcSight ESM: 쿼리 뷰어 설정: 생성: 일반
      필드 이름설명
      이름 쿼리의 이름을 입력합니다.
      쿼리 대상 드롭다운 목록에서 이벤트를 선택합니다.
      시작 시간 최신 데이터를 수집하려면 이벤트에서 수집할 날짜를 선택합니다. 현재 날짜보다 하루 또는 며칠 빠른 날짜를 지정합니다.
      주:
      현재 날짜보다 7일 이상 오래된 날짜는 지정할 수 없습니다. 많은 수의 이벤트를 수집하는 경우 현재 날짜보다 1일 또는 2일 오래된 날짜를 지정해야 합니다.
      종료 시간 현재 날짜입니다.
      행 제한 한 번에 수집할 수 있는 최대 이벤트 수입니다. 여기에 5000보다 작은 값을 지정합니다.
    4. 필드 탭을 클릭합니다.
      ArcSight ESM: 쿼리 뷰어 설정: 생성: 필드
    5. 수집 중에 포함해야 하는 필드를 선택합니다.
      수집에 성공하려면 이벤트 ID, 이름종료 시간 필드를 선택해야 합니다.
    6. "ORDER BY" 열 추가 링크를 클릭하고 이벤트 ID 필드를 선택한 후 정렬 순서를 내림차순으로 지정하여 최신 이벤트가 수집되도록 합니다.
    7. 조건 탭을 클릭합니다.
    8. Summary(요약) 섹션의 Event Conditions(이벤트 조건)에서 Event(이벤트)를 마우스 오른쪽 버튼으로 클릭합니다.
    9. 먼저 새 조건 > 루트 > 유형 를 클릭하고 이벤트 유형을 상관 관계로 선택합니다.
      중요사항:
      상관관계 이벤트만 검색됩니다. 상관 관계에 대한 기본 이벤트는 검색되지 않습니다.

      ArcSight ESM: 쿼리 뷰어 설정: 유형 선택
    10. OK(확인)를 클릭하여 쿼리를 저장합니다.
      다음 단계는 이 쿼리에 대한 쿼리 뷰어를 만드는 것입니다.
    11. 다음으로 이동 파일 > 신규 > 쿼리 뷰어.
      ArcSight ESM: 쿼리 뷰어 설정: 쿼리 뷰어 만들기
      필드 이름설명
      이름 쿼리 뷰어의 이름을 입력합니다.
      쿼리 방금 생성한 쿼리를 선택합니다.
      다음 후 데이터 새로 고침 데이터를 새로 고치는 빈도를 지정합니다.
    12. 필드 탭을 클릭하고 쿼리에 지정한 필수 필드(이벤트 ID, 이름, 종료 시간)가 선택되어 있는지 확인합니다.
    13. Apply(적용)를 클릭하여 Query Viewer(쿼리 뷰어)를 저장합니다.
      만든 새 Query Viewer가 Query Viewers 섹션에 나열됩니다.
    14. Query Viewer(쿼리 뷰어)를 클릭하여 수집되는 데이터를 확인합니다.
      ArcSight ESM: 쿼리 뷰어 설정: 완료됨