Richten Sie den Abfrage-Viewer ArcSight ESM ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erstellen Sie einen Abfrage-Viewer, und definieren Sie Filter, die kürzlich erstellte Korrelationsereignisse enthalten, die erfasst werden ServiceNow.

    Vorbereitungen

    Erforderliche Rolle: ArcSight-Administrator

    Prozedur

    1. Melden Sie sich bei der Konsole ArcSight ESM an, um einen Abfrage-Viewer zu erstellen.
    2. Um eine neue Abfrage zu erstellen, navigieren Sie zu Datei > Neu > Abfrage.
      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen
    3. Definieren Sie Bedingungen für den Abfrage-Viewer im Bereich „Inspizieren/Bearbeiten“.

      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen: Allgemein
      FeldnameBeschreibung
      Name Geben Sie einen Namen für die Abfrage ein.
      Abfrage ein Wählen Sie Event aus der Dropdown-Liste aus.
      Startzeit Um die neuesten Daten zu erfassen, wählen Sie das Datum aus den zu erfassenden Events aus. Geben Sie ein Datum an, das einen Tag oder einige Tage vor dem aktuellen Datum liegt.
      Hinweis:
      Sie können kein Datum angeben, das mehr als 7 Tage vor dem aktuellen Datum liegt. Wenn Sie eine große Anzahl von Events erfassen, müssen Sie ein Datum angeben, das 1 oder 2 Tage älter als das aktuelle Datum ist.
      Endzeit Dies ist das aktuelle Datum.
      Zeilenlimit Die maximale Anzahl von Events, die gleichzeitig erfasst werden können. Geben Sie hier einen Wert kleiner als 5000 an.
    4. Klicken Sie auf die Registerkarte Felder.
      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen: Felder
    5. Wählen Sie die Felder aus, die in die Erfassung einbezogen werden müssen.
      Sie müssen die Felder Event-ID, Nameund Endzeit auswählen, damit die Erfassung erfolgreich ist.
    6. Klicken Sie auf den Link „Sortieren nach “-Spalten hinzufügen, wählen Sie das Feld Event-ID aus, und legen Sie die Sortierreihenfolge auf Absteigend fest, um sicherzustellen, dass die neuesten Events erfasst werden.
    7. Klicken Sie auf die Registerkarte Bedingungen.
    8. Klicken Sie mit der rechten Maustaste auf Event unter Event-Bedingungen im Abschnitt „ Zusammenfassung “.
    9. Klicken Neue Bedingung > Stamm > Typ und wählen Sie als Event-Typ Korrelationaus.
      Wichtig:
      Es werden nur Korrelationsereignisse abgerufen. Basis-Events für Korrelationen werden nicht abgerufen.

      ArcSight ESM: Abfrage-Viewer-Setup: Wählen Sie Typ aus
    10. Klicken Sie auf OK, um die Abfrage zu speichern.
      Der nächste Schritt besteht darin, einen Abfrage-Viewer für diese Abfrage zu erstellen.
    11. Navigieren zu Datei > Neu > Abfrage-Viewer.
      ArcSight ESM: Abfrage-Viewer-Setup: Erstellen Sie einen Abfrage-Viewer
      FeldnameBeschreibung
      Name Geben Sie einen Namen für den Abfrage-Viewer ein.
      Abfrage Wählen Sie die soeben erstellte Abfrage aus.
      Daten aktualisieren nach Geben Sie die Häufigkeit an, mit der die Daten aktualisiert werden sollen.
    12. Klicken Sie auf die Registerkarte Felder, und stellen Sie sicher, dass die Pflichtfelder (Event-ID, Name, Endzeit), die Sie in Ihrer Abfrage angegeben haben, ausgewählt sind.
    13. Klicken Sie auf Anwenden, um den Abfrage-Viewer zu speichern.
      Der neue Abfrage-Viewer, den Sie erstellt haben, wird im Abschnitt „Query Viewers“ (Abfrage-Viewer) aufgelistet.
    14. Klicken Sie auf den Abfrage-Viewer, um die erfassten Daten anzuzeigen.
      ArcSight ESM: Abfrage-Viewer einrichten: Abgeschlossen