Configurer la visionneuse de ArcSight ESM requête

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Créez une visionneuse de requête et définissez des filtres qui incluront les événements de corrélation récemment créés qui seront ingérés ServiceNow.

    Avant de commencer

    Rôle requis : Administrateur ArcSight

    Procédure

    1. Connectez-vous à la ArcSight ESM console pour créer une visionneuse de requêtes.
    2. Pour créer une requête, accédez à Fichier > Nouveau > Requête.
      ArcSight ESM : configuration de la visionneuse de requête : créer
    3. Définissez des conditions pour la visionneuse de requête dans le panneau Inspecter/Modifier .

      ArcSight ESM : configuration de la visionneuse de requête : créer : général
      Nom de champDescription
      Nom Saisissez un nom pour la requête.
      Requête sur Sélectionnez Événement dans la liste déroulante.
      Heure de début Pour ingérer les données les plus récentes, sélectionnez la date des événements à ingérer. Spécifiez une date antérieure d’un jour ou de quelques jours à la date actuelle.
      Remarque :
      Vous ne pouvez pas spécifier une date antérieure de plus de 7 jours à la date actuelle. Si vous ingérez un grand nombre d’événements, vous devez spécifier une date antérieure de 1 ou 2 jours à la date actuelle.
      Heure de fin Il s’agit de la date actuelle.
      Limite de ligne Nombre maximal d’événements pouvant être ingérés simultanément. Spécifiez une valeur inférieure à 5 000 ici.
    4. Cliquez sur l’onglet Champs .
      ArcSight ESM : configuration de la visionneuse de requêtes : créer : champs
    5. Sélectionnez les champs qui doivent être inclus lors de l’ingestion.
      Vous devez sélectionner les champs ID de l’événement, Nom et Heure de fin pour que l’ingestion réussisse.
    6. Cliquez sur le lien Ajouter des colonnes « TRIER PAR », sélectionnez le champ ID d’événement et spécifiez l’ordre de tri par ordre décroissant pour vous assurer que les derniers événements sont ingérés.
    7. Cliquez sur l’onglet Conditions .
    8. Cliquez avec le bouton droit sur Événement sous Conditions de l’événement sous la section Résumé .
    9. Cliquer sur Nouvelle condition > Racine > Type et sélectionnez le type d’événement comme Corrélation.
      Important :
      Seuls les événements de corrélation sont récupérés ; Les événements de base pour les corrélations ne seront pas récupérés.

      ArcSight ESM : configuration de la visionneuse de requête : sélectionner le type
    10. Cliquez sur OK pour enregistrer la requête.
      L’étape suivante consiste à créer une visionneuse de requête pour cette requête.
    11. Accédez à la Fichier > Nouveau > Visionneuse de requête.
      ArcSight ESM : configuration de la visionneuse de requête : créer une visionneuse de requête
      Nom de champDescription
      Nom Entrez un nom pour la visionneuse de requête.
      Requête Sélectionnez la requête que vous venez de créer.
      Actualiser les données après Spécifiez la fréquence à laquelle les données doivent être actualisées.
    12. Cliquez sur l’onglet Champs et assurez-vous que les champs obligatoires (ID d’événement, nom, heure de fin) que vous avez spécifiés dans votre requête sont sélectionnés.
    13. Cliquez sur Appliquer pour enregistrer la visionneuse de requête.
      La nouvelle visionneuse de requête que vous avez créée est répertoriée dans la section Visionneuses de requête.
    14. Cliquez sur la visionneuse de requête pour afficher les données ingérées.
      ArcSight ESM : configuration de la visionneuse de requête : terminé