Creación de widgets a partir de un origen de datos de AQL

Puede utilizar sentencias Ariel Query Language (AQL) para crear widgets. AQL es un lenguaje de consulta estructurado que se utiliza para extraer, filtrar y manipular datos de sucesos y flujos de la base de datos Ariel en IBM® QRadar®.

Antes de empezar

Lea los temas siguientes en la publicación IBM QRadar Ariel Query Language Guide para obtener más información sobre Ariel Query Language que utiliza en QRadar Pulse para crear elementos de panel de control basados en orígenes de datos AQL:

Visión general de Ariel Query Language
Dentro de la sección de visión general, varios temas explican las sentencias y las cláusulas que se utilizan. Las sentencias y cláusulas aparecen como palabras clave en QRadar y QRadar Pulse cuando las especifica en el campo de consulta.
Campos de suceso, flujo y simarc para consultas AQL
Utilice AQL para recuperar campos específicos de los sucesos, flujos y tablas simarc de la base de datos Ariel.

Acerca de esta tarea

Los administradores no pueden crear widgets o paneles de control para otros usuarios, pero pueden compartir sus propios paneles de control con otros usuarios.

Procedimiento

Haga clic en Configurar el panel.

La pantalla Configurar panel de control muestra una biblioteca de widgets disponibles, con detalles sobre cada widget.
Haga clic en Crear widget nuevo.
En la página Elemento de panel de instrumentos , especifique un nombre y una descripción para el widget.
Seleccione AQL en la lista de orígenes de datos en la sección Consulta y especifique una sentencia AQL. Para obtener más información, consulte Sugerencias para crear consultas de AQL para gráficos de panel de control.
1. Inserte los parámetros existente en la sentencia. Pulse el icono Insertar parámetro y, a continuación, pulse Insertar para cada parámetro relevante.
2. Para cambiar el valor predeterminado del parámetro, pulse el icono Ver parámetros y pulse Guardar después de establecer el valor predeterminado.
  Cuando cambia el valor predeterminado para un parámetro, está cambiado el valor en todos los puntos donde se utiliza el parámetro en el espacio de trabajo, excepto en paneles de control ampliados o marcados. Si no establece el valor como valor predeterminado, el cambio actualizado solo se aplica a la sesión actual. Sin embargo, si establece el valor como valor predeterminado, el valor de la sesión actual también utiliza dicho valor.
  Sugerencia: El parámetro SYSTEM:username predefinido devuelve el nombre de usuario del usuario que ha iniciado la sesión. Los parámetros del sistema son de solo lectura y no puede modificar el valor predeterminado.
3. Para añadir un parámetro al espacio de trabajo, pulse Añadir, proporcione al parámetro un nombre y valor predeterminado, si es necesario, y pulse Guardar.
  
  Sugerencia: Después de añadir parámetros a un widget en un panel de instrumentos por primera vez, la tarjeta Parámetros aparece en el panel de instrumentos. Si elimina parámetros del widget, y ningún otro widget de ese panel de control utiliza el parámetro, la tarjeta Parámetros desaparece.
Elija un tiempo de renovación que indique la frecuencia con la que desea sondear el origen de datos. Elija una frecuencia de renovación que sea mayor que el tiempo de consulta seleccionado. La velocidad de renovación predeterminada es cada 5 minutos. Cuanto más corto sea el tiempo de renovación, mayor será el impacto en el rendimiento en IBM QRadar. El temporizador de la frecuencia de renovación comienza cuando se completa la consulta.
Por ejemplo, si la frecuencia de renovación es cada minuto y la consulta tarda 3 minutos en completarse, la frecuencia de renovación se inicial después de que finalice la ejecución de 3 minutos.
Haga clic en Ejecutar consulta.
Cuando crea por primera vez el widget, no puede configurar los gráficos si no se devuelven resultados de datos. Intente conseguir que los criterios de los campos sean menos estrictos y vuelva a ejecutar la consulta.
Si la consulta de AQL contiene parámetros sin ningún valor, introduzca los parámetros en la página Parámetros. Especifique un valor para cada parámetro para que la consulta se ejecute correctamente. Si la consulta se ejecuta correctamente, los resultandos se muestran junto a la sentencia.
Cree una vista en la sección Vistas .
Puesto que puede crear varias vistas y gráficos desde la misma consulta, asigne a la vista un nombre exclusivo. De forma predeterminada, se visualiza el título y el estado del gráfico en la barra de título; para ocultarlos, pulse el icono Más opciones y cambie los valores a Desactivado.

Seleccione un tipo de gráfico y configure las propiedades relevantes. Para utilizar casos que le ayuden a decidir qué tipo de gráfico utilizar, consulte Tipos de gráfico de widgets.

Tipo de gráfico	Instrucciones
Barra	Creación de un gráfico de barras
Número grande	Creación de un gráfico de números grandes
Geográfico	Creación de un gráfico geográfico
Circular	Creación de un gráfico circular
Dispersar	Creación de un gráfico de dispersión
Tabular	Creación de un gráfico de tabla
Serie temporal	Creación de un gráfico de serie temporal

Obtenga una vista previa de cómo se ve el gráfico y luego pulse Guardar.

Sugerencia: Las etiquetas del gráfico proceden de las consultas que se utilizan. Si son ininteligibles en la vista previa, edite las etiquetas en la sección Vista.

Resultados

Puede editar un widget y guardarlo sin volver a ejecutar la consulta. Por ejemplo, si una consulta no devuelve resultados, como en el caso de que el periodo de tiempo no sea lo suficientemente largo como para tomar nuevos sucesos, o si el valor de magnitud o de gravedad no se puede aplicar cuando se ejecuta la consulta, puede guardar el widget. Si edita la consulta, debe volver a ejecutar la consulta para poder guardar el widget.

La supresión de un widget lo elimina de cada panel de instrumentos al que pertenece. Si el panel de control suprimido contiene parámetros, los parámetros no se suprimen.