Sentencias AQL de suceso de ejemplo origen de registro y uso de almacenamiento

Utilice los siguientes ejemplos para supervisar sucesos, orígenes de registros y uso de almacenamiento, o también puede editar las consultas para adaptarlas a sus requisitos.

Resumen de origen de registro
Sucesos exclusivos
Porcentaje de sucesos no analizados
Porcentaje de sucesos no analizados para un tipo de origen de registro específico
Número de coincidencias parciales por regla
Número de coincidencias parciales por procesador de sucesos
Número de coincidencias parciales por regla y por procesador de sucesos
Consumo de almacenamiento por tipo de origen de registro
Uso de almacenamiento
Uso de CPU
Uso de memoria
CPE, orígenes de registro y reglas costosos
Búsquedas costosas
Las búsquedas AQL ejecutadas por el usuario

Resumen de origen de registro

Ofrece una lista de tipos de orígenes de registro exclusivos, que incluyen el número de orígenes de registro, EPS y el porcentaje de sucesos no analizados.

SELECT LOGSOURCETYPENAME(devicetype) AS "LogSourceType",UNIQUECOUNT(logsourceid) as "Number of Log Sources",
COUNT(*)/3600 as "EPS",(DOUBLE(COUNT(isunparsed)) / COUNT(*)) * 100 AS "PercentUnparsed" 
FROM events 
GROUP BY devicetype 
ORDER BY "PercentUnparsed" 
DESC 
LAST 1 HOURS

(parte superior)

Sucesos exclusivos

Ofrece una lista de sucesos exclusivos y el tipo de origen de registro, QID, categoría general, categoría específica y número de sucesos.

SELECT LOGSOURCETYPENAME(devicetype) AS "Log Source Type",
QIDNAME(qid) AS "Event Name", 
qid as "QID", 
CATEGORYNAME(highlevelcategory) AS "High-level Category", 
CATEGORYNAME(category) AS "Low-level Category", 
LONG(COUNT(*)) as "Number of Events" 
FROM events 
GROUP BY qid, devicetype 
ORDER BY COUNT(*)  
DESC 
LAST 1 HOURS

(parte superior)

Porcentaje de sucesos no analizados

Proporciona el porcentaje de sucesos que no se han analizado para cada tipo de origen de registro. Los orígenes de registro que superan el 20 % de sucesos no analizados se deben resolver.

SELECT LOGSOURCETYPENAME(devicetype) AS "Log Source Type",
devicetype AS "Log Source ID", 
LONG(UNIQUECOUNT(logsourceid)) as "Number of Log Sources", 
LONG(SUM(eventcount)) as "Total Events", 
LONG(COUNT(*)) as "Aggregated Events", 
LONG(COUNT(isunparsed)) AS "Unparsed Events", 
STR(LONG(SUM(eventcount)/24*3600)) as "EPS",
LONG("Unparsed Events"*100) / "Total Events" AS "PercentUnparsed" 
FROM events 
GROUP BY devicetype 
ORDER BY "PercentUnparsed","Unparsed Events" 
DESC 
LAST 24 HOURS

(parte superior)

Porcentaje de sucesos no analizados para un tipo de origen de registro específico

Para estudiar con mayor profundidad los problemas de análisis relacionados con un tipo de origen de registro específico (por ejemplo, devicetype=11), puede ejecutar la consulta siguiente que devuelve un desglose de las estadísticas por origen de registro.

SELECT LOGSOURCENAME(logsourceid) AS "Log Source Name", 
LONG(SUM(eventcount)) as "Total Events", 
LONG(COUNT(*)) as "Aggregated Events", 
LONG(COUNT(isunparsed)) AS "Unparsed Events", 
STR(LONG(SUM(eventcount)/24*3600)) as "EPS",
LONG("Unparsed Events"*100) / "Total Events" AS "PercentUnparsed" 
FROM events 
WHERE  devicetype=11 
GROUP BY logsourceid 
ORDER BY "PercentUnparsed","Unparsed Events" 
DESC 
LAST 24 HOURS

Sugerencia: añada más campos según sea necesario para su entorno. Cree un parámetro AQL para la variable devicetype=11. Para obtener más información, consulte Creación de parámetros para los paneles de control.

(parte superior)

Número de coincidencias parciales por regla

Proporciona una lista de todas las reglas y elementos esenciales con el número de coincidencias parciales dentro del periodo de tiempo especificado.

SELECT RULENAME(partialmatchlist) as "Rule Name", 
LONG(COUNT(*)) as "Number of Partial Matches" 
FROM events 
WHERE partialmatchlist IS NOT NULL  
GROUP BY "Rule Name" 
ORDER BY "Number of Partial Matches" 
DESC 
LAST 1 HOURS

(parte superior)

Número de coincidencias parciales por procesador de sucesos

Proporciona una lista de todas las reglas y elementos esenciales con el número de coincidencias parciales dentro del periodo de tiempo especificado.

SELECT HOSTNAME(processorid) as "Event Processor Name", 
LONG(COUNT(*)) as "Number of Partial Matches" 
FROM events 
WHERE partialmatchlist IS NOT NULL  
GROUP BY "Event Processor Name" 
ORDER BY "Number of Partial Matches" 
DESC 
LAST 1 HOURS

Número de coincidencias parciales por regla y por procesador de sucesos

Proporciona una lista de todas las reglas y elementos esenciales, que incluye el número de coincidencias parciales por regla dentro del periodo de tiempo especificado.

SELECT HOSTNAME(processorid) as "Event Processor Name", 
RULENAME(partialmatchlist) as "Rule Name", 
LONG(COUNT(*)) as "Number of Partial Matches" 
FROM events 
WHERE partialmatchlist IS NOT NULL  
GROUP BY "Event Processor Name", "Rule Name" 
ORDER BY "Number of Partial Matches" 
DESC 
LAST 1 HOURS

(parte superior)

Consumo de almacenamiento por tipo de origen de registro

Proporciona un desglose del almacenamiento que utiliza cada tipo de origen de registro durante 1 día.

Nota: Esta consulta no incluye el almacenamiento que se utiliza para los índices de QRadar® . No obstante, la mayoría de los índices se distribuyen de forma equitativa entre todos los sucesos, independientemente del tipo de origen de registro o del tamaño de la carga útil.

SELECT 
LOGSOURCETYPENAME(deviceType) AS LogSource, 
LONG(MIN(STRLEN(UTF8(payload)))) AS "Minimum Payload Size (Bytes)", 
LONG(MAX(STRLEN(UTF8(payload)))) AS "Maximum Payload Size (Bytes)", 
LONG(AVG(STRLEN(UTF8(payload)))) AS "Average Payload Size (Bytes)", 
LONG(STDEV(STRLEN(UTF8(payload)))) AS "Standard Deviation (Bytes)",
LONG(COUNT(logsourceid)) AS EventCount,
LONG(EventCount * "Average Payload Size (Bytes)") / (1024 * 1024)  as "Total Storage (MB)"
FROM events 
GROUP BY deviceType 
ORDER BY "Total Storage (MB)" 
DESC
LAST 24 HOURS

(parte superior)

Uso del almacenamiento

Proporciona un resumen diario de la cantidad de almacenamiento que se utiliza en todos los dispositivos QRadar .

SELECT DATEFORMAT(starttime, 'yyyy-MM-dd') as "Date", "Hostname" as "QRadar Appliance Name", 
LONG(MAX("Value")/(1024*1024*1024)) as "Storage Used (GB)"
FROM events 
WHERE (qid = 94000001) AND ((LONG(starttime/1000)%(24*3600)) < 20) AND ("Metric ID" = 'DiskSpaceUsed') AND (Element = '/store')
GROUP BY "Date", "Hostname"
ORDER BY "Date", "Hostname"

Sugerencia: ejecute la búsqueda durante un mínimo de 1 día para devolver los resultados. Para mejorar los resultados, indexe la propiedad personalizada ID de métrica.

(parte superior)

Uso de CPU

Proporciona un desglose del tiempo de CPU que utiliza cada componente en cada dispositivo QRadar

SELECT DATEFORMAT(starttime, 'yyyy-MM-dd') as "Date", "Hostname" as "QRadar Appliance Name", 
"Component Type", LONG(SUM("Value")) as "CPU Time"
FROM events 
WHERE (qid = 94000001)  AND ("Metric ID" = 'ProcessCPUTime') 
GROUP BY "Date", "Hostname", "Component Type"
ORDER BY "Date", "Hostname", "Component Type"

(parte superior)

Uso de memoria

Proporciona un desglose de la memoria de almacenamiento dinámico que utiliza cada componente en cada dispositivo QRadar .

SELECT DATEFORMAT(starttime, 'yyyy-MM-dd') as "Date", "Hostname" as "QRadar Appliance Name", 
"Component Type", LONG(SUM("Value")/(1024*1024*1024)) as "Memory Usage Per Day (GB)"
FROM events 
WHERE (qid = 94000001)  AND ("Metric ID" = 'HeapMemoryUsed') 
GROUP BY "Date", "Hostname", "Component Type"
ORDER BY "Date", "Hostname", "Component Type"

(parte superior)

CEP, orígenes de registro y reglas costosos

Proporciona una lista completa de procesos de sucesos complejos (CEP) costosos, orígenes de registro y reglas identificados por QRadar.

Nota: Esta sentencia utiliza las siguientes propiedades personalizadas de la aplicación QRadar Development Intelligence: expensivecp, expensivelogsourcey expensiverules.

SELECT DATEFORMAT(starttime,'yyyy-MM-dd HH:mm:ss') as "timestamp",sourceip, "expensivecp","expensivelogsource","expensiverules", UTF8(payload)
FROM events 
WHERE devicetype=147 AND (expensivecp is not NULL OR expensivelogsource is not NULL OR expensiverules is not NULL) 
ORDER BY timestamp 
DESC
LAST 48 HOURS

(parte superior)

Búsquedas costosas

Proporciona una lista de las búsquedas que se han ejecutado en las últimas 24 horas. La lista está clasificada por tiempo de ejecución.

Nota: Esta sentencia utiliza las siguientes propiedades personalizadas de la aplicación QRadar Development Intelligence: expensivecp, expensivelogsourcey expensiverules.

SELECT "searchid", "searchpriority", "searchlimit", "searchtime" 
FROM events 
WHERE qid=28250295 
ORDER BY searchtime 
DESC 
LAST 24 HOURS

(parte superior)

Búsquedas AQL ejecutadas por usuario

Proporciona una lista de todas las búsquedas que ha ejecutado cada usuario.

Nota: Esta sentencia utiliza las siguientes propiedades personalizadas de la aplicación QRadar Development Intelligence: expensivecp, expensivelogsourcey expensiverules.

SELECT username, "Ariel Source", "Ariel Cursor ID", "searchpriority", "AQL Statement" 
FROM events 
WHERE qid=28250254 
ORDER BY username 
LAST 2 HOURS

(parte superior)

Ejemplos de copia de consultas

Si copia y pega un ejemplo de consulta que contiene comillas simples o dobles, debe volver a escribir las comillas para asegurarse de que la consulta las analiza.