Richten Sie ein ArcSight ESM Abfrage-Viewer

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie einen Abfragebetrachter, und definieren Sie Filter, die kürzlich erstellte Korrelationsereignisse enthalten, die erfasst werden ServiceNow.

    Vorbereitungen

    Erforderliche Rolle: ArcSight-Administrator

    Prozedur

    1. Melden Sie sich bei an ArcSight ESM Konsole zum Erstellen eines Abfrage-Viewers.
    2. Um eine neue Abfrage zu erstellen, navigieren Sie zu Datei > Neu > Abfragean.
      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen
    3. Definieren Sie Bedingungen für die Abfrage-Viewer in Überprüfen/Bearbeiten Bereich.

      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen: Allgemein
      FeldnameBeschreibung
      Name Geben Sie einen Namen für die Abfrage ein.
      Abfrage Auf Wählen Sie Aus Ereignis Aus der Dropdown-Liste.
      Startzeit Um die neuesten Daten zu erfassen, wählen Sie das Datum aus den Ereignissen aus, die erfasst werden sollen. Geben Sie ein Datum an, das einen Tag oder einige Tage vor dem aktuellen Datum liegt.
      Hinweis:
      Sie können kein Datum angeben, das mehr als 7 Tage älter als das aktuelle Datum ist. Wenn Sie eine große Anzahl von Ereignissen erfassen, müssen Sie ein Datum angeben, das 1 oder 2 Tage älter als das aktuelle Datum ist.
      Endzeit Dies ist das aktuelle Datum.
      Zeilenlimit Die maximale Anzahl von Ereignissen, die gleichzeitig erfasst werden können. Geben Sie hier einen Wert an, der kleiner als 5000 ist.
    4. Klicken Sie auf Felder Registerkarte.
      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen: Felder
    5. Wählen Sie die Felder aus, die bei der Erfassung berücksichtigt werden müssen.
      Sie müssen auswählen Ereignis-ID , Name , Und Endzeit Felder für erfolgreiche Erfassung.
    6. Klicken Sie auf Fügen Sie Spalten „SORTIEREN NACH“ hinzu Verknüpfen und auswählen Ereignis-ID Feld und geben Sie die Sortierreihenfolge als an Absteigend Um sicherzustellen, dass die neuesten Ereignisse erfasst werden.
    7. Klicken Sie auf Bedingungen Registerkarte.
    8. Rechtsklick Ereignis Unter Ereignisbedingungen Unter Zusammenfassung Abschnitt.
    9. Klicken Neue Bedingung > Stamm > Typ Und wählen Sie den Ereignistyp als aus Korrelation .
      Wichtig:
      Nur Korrelationsereignisse werden abgerufen. Basisereignisse für Korrelationen werden nicht abgerufen.

      ArcSight ESM: Abfrage-Viewer-Setup: Wählen Sie Typ aus
    10. Klicken Sie Auf OK Zum Speichern der Abfrage.
      Der nächste Schritt besteht darin, einen Abfrage-Viewer für diese Abfrage zu erstellen.
    11. Navigieren zu Datei > Neu > Abfrage-Vieweran.
      ArcSight ESM: Abfrage-Viewer-Setup: Abfrage-Viewer erstellen
      FeldnameBeschreibung
      Name Geben Sie einen Namen für den Abfrage-Viewer ein.
      Abfrage Wählen Sie die Abfrage aus, die Sie gerade erstellt haben.
      Aktualisieren Sie Die Daten Nach Geben Sie die Häufigkeit an, mit der die Daten aktualisiert werden sollen.
    12. Klicken Sie auf Felder Registerkarte und stellen Sie sicher, dass die Pflichtfelder ( Ereignis-ID, Name, Endzeit ), die Sie in Ihrer Abfrage angegeben haben, sind ausgewählt.
    13. Klicken Sie Auf Anwenden Zum Speichern des Abfrage-Viewers.
      Der von Ihnen erstellte neue Abfrage-Viewer wird im Abschnitt Abfrage-Viewer aufgeführt.
    14. Klicken Sie auf den Abfrageanzeige, um die erfassten Daten anzuzeigen.
      ArcSight ESM: Setup-Abfrage-Viewer: Abgeschlossen