Configurer la visionneuse de ArcSight ESM requêtes

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Créez une visionneuse de requêtes et définissez des filtres qui incluront les événements de corrélation récemment créés qui seront ingérés ServiceNow.

    Avant de commencer

    Rôle requis : Administrateur ArcSight

    Procédure

    1. Connectez-vous à la ArcSight ESM console pour créer une visionneuse de requêtes.
    2. Pour créer une requête, accédez à Fichier > Nouvelle > Requête.
      ArcSight ESM : configuration de la visionneuse de requêtes : créer
    3. Définissez des conditions pour la visionneuse de requêtes dans le panneau Inspecter/Modifier .

      ArcSight ESM : configuration de la visionneuse de requêtes : créer : général
      Nom de champDescription
      Nom Entrez un nom pour la requête.
      Requête sur Sélectionnez Événement dans la liste déroulante.
      Heure de début Pour ingérer les données les plus récentes, sélectionnez la date des événements à ingérer. Spécifiez une date antérieure d’un jour ou de quelques jours à la date actuelle.
      Remarque :
      Vous ne pouvez pas spécifier une date antérieure de plus de 7 jours à la date actuelle. Si vous gérez un grand nombre d’événements, vous devez spécifier une date antérieure de 1 ou 2 jours à la date actuelle.
      Heure de fin Il s’agit de la date actuelle.
      Limite de ligne Nombre maximal d’événements pouvant être ingérés simultanément. Spécifiez une valeur inférieure à 5 000 ici.
    4. Cliquez sur l’onglet Champs .
      ArcSight ESM : configuration de la visionneuse de requêtes : créer : champs
    5. Sélectionnez les champs qui doivent être inclus lors de l’ingestion.
      Pour que l’ingestion réussisse, vous devez sélectionner les champs ID de l’événement, Nom et Heure de fin .
    6. Cliquez sur le lien Ajouter des colonnes « TRIER PAR », sélectionnez le champ ID d’événement et spécifiez l’ordre de tri par ordre décroissant pour vous assurer que les derniers événements sont ingérés.
    7. Cliquez sur l’onglet Conditions .
    8. Cliquez avec le bouton droit sur Événement sous Conditions d’événement sous la section Résumé .
    9. Cliquer sur Nouvelle condition > Racine > Type et sélectionnez le type d’événement comme Corrélation.
      Important :
      Seuls les événements de corrélation seront récupérés ; Les événements de base pour les corrélations ne seront pas récupérés.

      ArcSight ESM : configuration de la visionneuse de requêtes : sélectionner le type
    10. Cliquez sur OK pour enregistrer la requête.
      L’étape suivante consiste à créer un visualiseur de requêtes pour cette requête.
    11. Accédez à la Fichier > Nouvelle > Visionneuse de requête.
      ArcSight ESM : configuration de la visionneuse de requêtes : créer une visionneuse de requêtes
      Nom de champDescription
      Nom Entrez un nom pour la visionneuse de requêtes.
      Requête Sélectionnez la requête que vous venez de créer.
      Actualiser les données après Spécifiez la fréquence à laquelle les données doivent être actualisées.
    12. Cliquez sur l’onglet Champs et assurez-vous que les champs obligatoires (ID d’événement, Nom, Heure de fin) que vous avez spécifiés dans votre requête sont sélectionnés.
    13. Cliquez sur Appliquer pour enregistrer la visionneuse de requêtes.
      La nouvelle visionneuse de requêtes que vous avez créée est répertoriée dans la section Visionneuses de requêtes.
    14. Cliquez sur la visionneuse de requêtes pour afficher les données ingérées.
      ArcSight ESM : configuration de la visionneuse de requêtes : terminé