쿼리 뷰어 설정Set up the ArcSight ESM Query Viewer

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 쿼리 뷰어를 만들고 수집할 ServiceNow최근에 만든 상관 관계 이벤트를 포함할 필터를 정의합니다.

    시작하기 전에

    필요한 역할: ArcSight 관리자

    프로시저

    1. ArcSight ESM 콘솔에 로그인하여 쿼리 뷰어를 만듭니다.
    2. 새 쿼리를 만들려면 다음으로 이동합니다. 파일 > 신규 > 쿼리.
      ArcSight ESM: 쿼리 뷰어 설정: 만들기
    3. 검사/편집 패널에서 쿼리 뷰어에 대한 조건을 정의합니다.

      ArcSight ESM: 쿼리 뷰어 설정: 작성: 일반
      필드 이름설명
      이름 쿼리 이름을 입력합니다.
      쿼리 설정 드롭다운 목록에서 이벤트를 선택합니다.
      시작 시간 최신 데이터를 수집하려면 수집할 이벤트에서 날짜를 선택합니다. 현재 날짜보다 하루 또는 며칠 빠른 날짜를 지정합니다.
      주:
      현재 날짜보다 7일 이상 오래된 날짜를 지정할 수 없습니다. 많은 수의 이벤트를 수집하는 경우 현재 날짜보다 1일 또는 2일 오래된 날짜를 지정해야 합니다.
      종료 시간 현재 날짜입니다.
      행 제한 한 번에 수집할 수 있는 최대 이벤트 수입니다. 여기에서 5000보다 작은 값을 지정합니다.
    4. 필드 탭을 클릭합니다.
      ArcSight ESM: 쿼리 뷰어 설정: 작성: 필드
    5. 수집 중에 포함해야 하는 필드를 선택합니다.
      수집이 성공하려면 이벤트 ID, 이름종료 시간 필드를 선택해야 합니다.
    6. "정렬 기준" 열 추가 링크를 클릭하고 이벤트 ID 필드를 선택한 후 정렬 순서를 내림차순으로 지정하여 최신 이벤트가 수집되도록 합니다.
    7. 조건 탭을 클릭합니다.
    8. 요약 섹션의 이벤트 조건에서이벤트를 마우스 오른쪽 버튼으로 클릭합니다.
    9. Click 새 조건 > 근본 > 유형 을 클릭하고 이벤트 유형을 상관 관계로 선택합니다.
      중요사항:
      상관관계 이벤트만 검색됩니다. 상관 관계에 대한 기본 이벤트는 검색되지 않습니다.

      ArcSight ESM: 쿼리 뷰어 설정: 유형 선택
    10. 확인을 클릭하여 쿼리를 저장합니다.
      다음 단계는 이 쿼리에 대한 쿼리 뷰어를 만드는 것입니다.
    11. 다음으로 이동 파일 > 신규 > 쿼리 뷰어.
      ArcSight ESM: 쿼리 뷰어 설정: 쿼리 뷰어 만들기
      필드 이름설명
      이름 쿼리 뷰어의 이름을 입력합니다.
      쿼리 방금 생성한 쿼리를 선택합니다.
      다음 시간 이후 데이터 새로 고침 데이터를 새로 고치는 빈도를 지정합니다.
    12. 필드 탭을 클릭하고 쿼리에 지정한 필수 필드(이벤트 ID, 이름, 종료 시간)가 선택되어 있는지 확인합니다.
    13. 적용을 클릭하여 쿼리 뷰어를 저장합니다.
      만든 새 쿼리 뷰어가 쿼리 뷰어 섹션에 나열됩니다.
    14. 쿼리 뷰어를 클릭하여 수집 중인 데이터를 확인합니다.
      ArcSight ESM: 쿼리 뷰어 설정: 완료