Configurar o ArcSight ESM Query Viewer

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie um visualizador de consulta e defina filtros que incluirão eventos de correlação criados recentemente que serão ingeridos ServiceNow.

    Antes de Iniciar

    Função necessária: administrador do ArcSight

    Procedimento

    1. Faça login no console ArcSight ESM para criar um visualizador de consulta.
    2. Para criar uma nova consulta, navegue até Arquivo > Nova > Consulta.
      ArcSight ESM: configuração do visualizador de consultas: criar
    3. Defina condições para o Visualizador de consultas no painel Inspecionar/Editar.

      ArcSight ESM: configuração do visualizador de consultas: criar: geral
      Nome do CampoDescrição
      Nome Insira um nome para a consulta.
      Consulta em Selecione Evento na lista suspensa.
      Hora de início Para ingerir os dados mais recentes, selecione a data em que os eventos serão ingeridos. Especifique uma data que seja um dia ou alguns dias anterior à data atual.
      Nota:
      Você não pode especificar uma data que seja mais de 7 dias mais antiga que a data atual. Se você estiver ingerindo um grande número de eventos, deverá especificar uma data que seja 1 ou 2 dias mais antiga que a data atual.
      Hora de término Esta é a data atual.
      Limite de linhas O número máximo de eventos que podem ser ingeridos por vez. Especifique um valor inferior a 5000 aqui.
    4. Clique na guia Campos.
      ArcSight ESM: configuração do visualizador de consultas: criar: campos
    5. Selecione os campos que devem ser incluídos durante a ingestão.
      Você deve selecionar os campos ID do evento, Nomee Hora de término para que a ingestão seja bem-sucedida.
    6. Clique no link Adicionar colunas "ORDER BY", selecione o campo ID do evento e especifique a ordem de classificação como Decrescente para garantir que os eventos mais recentes sejam ingeridos.
    7. Clique na guia Condições.
    8. Clique com o botão direito do mouse em Evento em Condições de evento na seção Resumo.
    9. Clique em Nova condição > Raiz > Tipo e selecione o Tipo de evento como Correlação.
      Importante:
      Somente eventos de correlação serão recuperados; eventos de base para correlações não serão recuperados.

      ArcSight ESM: configuração do visualizador de consultas: selecionar tipo
    10. Clique em OK para salvar a consulta.
      A próxima etapa é criar um Visualizador de consulta para esta consulta.
    11. Navegar até Arquivo > Nova > Visualizador de consulta.
      ArcSight ESM: configuração do visualizador de consulta: criar visualizador de consulta
      Nome do CampoDescrição
      Nome Insira um nome para o Visualizador de consulta.
      Consulta Selecione a consulta que você acabou de criar.
      Atualizar dados após Especifique a frequência com que os dados devem ser atualizados.
    12. Clique na guia Campos e certifique-se de que os campos obrigatórios (ID do evento, Nome, Hora de término) especificados na consulta estejam selecionados.
    13. Clique em Aplicar para salvar o Visualizador de consulta.
      O novo Visualizador de consulta que você criou é listado na seção Visualizadores de consulta.
    14. Clique no Visualizador de consulta para ver os dados que estão sendo ingeridos.
      ArcSight ESM: configurar visualizador de consulta: concluído