Evento di esempio, origine log e istruzioni AQL di utilizzo della memoria

Modifica in linea
Utilizzare i seguenti esempi per monitorare gli eventi, le origini log e l'utilizzo della memoria oppure è possibile modificare le query per adattarle ai propri requisiti.

Riepilogo origine log

Fornisce un elenco di tipi di origine log univicabili, tra cui il numero di sorgenti di log, EPS e la percentuale di eventi non analizzati.

SELECT LOGSOURCETYPENAME(devicetype) AS "LogSourceType",UNIQUECOUNT(logsourceid) as "Number of Log Sources",
COUNT(*)/3600 as "EPS",(DOUBLE(COUNT(isunparsed)) / COUNT(*)) * 100 AS "PercentUnparsed" 
FROM events 
GROUP BY devicetype 
ORDER BY "PercentUnparsed" 
DESC 
LAST 1 HOURS

(in alto)


Eventi univoli

Fornisce un elenco di eventi unici e il tipo di origine log, QID, categoria di alto livello, categoria di basso livello e il conteggio degli eventi.

SELECT LOGSOURCETYPENAME(devicetype) AS "Log Source Type",
QIDNAME(qid) AS "Event Name", 
qid as "QID", 
CATEGORYNAME(highlevelcategory) AS "High-level Category", 
CATEGORYNAME(category) AS "Low-level Category", 
LONG(COUNT(*)) as "Number of Events" 
FROM events 
GROUP BY qid, devicetype 
ORDER BY COUNT(*)  
DESC 
LAST 1 HOURS

(in alto)


Percentuale eventi non analizzati

Fornisce la percentuale di eventi non analizzati per ogni tipo di log di origine. Eventuali sorgenti di log superiori a 20% non paralizzate devono essere indirizzate.

SELECT LOGSOURCETYPENAME(devicetype) AS "Log Source Type",
devicetype AS "Log Source ID", 
LONG(UNIQUECOUNT(logsourceid)) as "Number of Log Sources", 
LONG(SUM(eventcount)) as "Total Events", 
LONG(COUNT(*)) as "Aggregated Events", 
LONG(COUNT(isunparsed)) AS "Unparsed Events", 
STR(LONG(SUM(eventcount)/24*3600)) as "EPS",
LONG("Unparsed Events"*100) / "Total Events" AS "PercentUnparsed" 
FROM events 
GROUP BY devicetype 
ORDER BY "PercentUnparsed","Unparsed Events" 
DESC 
LAST 24 HOURS

(in alto)


Percentuale di eventi non analizzati per un tipo di origine log specifico

Per indagare ulteriormente le problematiche di analisi con uno specifico tipo di origine log (ad esempio devicetype=11), è possibile eseguire la seguente query che restituisce una suddivisione delle statistiche per origine log.

SELECT LOGSOURCENAME(logsourceid) AS "Log Source Name", 
LONG(SUM(eventcount)) as "Total Events", 
LONG(COUNT(*)) as "Aggregated Events", 
LONG(COUNT(isunparsed)) AS "Unparsed Events", 
STR(LONG(SUM(eventcount)/24*3600)) as "EPS",
LONG("Unparsed Events"*100) / "Total Events" AS "PercentUnparsed" 
FROM events 
WHERE  devicetype=11 
GROUP BY logsourceid 
ORDER BY "PercentUnparsed","Unparsed Events" 
DESC 
LAST 24 HOURS
Suggerimento: Aggiungi più campi come richiesto per il tuo ambiente. Creare un parametro AQL per la variabile devicetype=11 . Per ulteriori informazioni, consultare Creazione di parametri per i pannelli di controllo.

(in alto)


Numero di corrispondenze parziali per regola

Fornisce un elenco di tutte le regole e i blocchi di costruzione con il numero di corrispondenze parziali entro il periodo di tempo specificato.

SELECT RULENAME(partialmatchlist) as "Rule Name", 
LONG(COUNT(*)) as "Number of Partial Matches" 
FROM events 
WHERE partialmatchlist IS NOT NULL  
GROUP BY "Rule Name" 
ORDER BY "Number of Partial Matches" 
DESC 
LAST 1 HOURS

(in alto)


Numero di corrispondenze parziali per processore eventi

Fornisce un elenco di tutte le regole e i blocchi di costruzione con il numero di corrispondenze parziali entro il periodo di tempo specificato.

SELECT HOSTNAME(processorid) as "Event Processor Name", 
LONG(COUNT(*)) as "Number of Partial Matches" 
FROM events 
WHERE partialmatchlist IS NOT NULL  
GROUP BY "Event Processor Name" 
ORDER BY "Number of Partial Matches" 
DESC 
LAST 1 HOURS

Numero di corrispondenze parziali per regola e per processore eventi

Fornisce un elenco di tutte le regole e i blocchi di costruzione, incluso il numero di corrispondenze parziali per regola entro il periodo di tempo specificato.

SELECT HOSTNAME(processorid) as "Event Processor Name", 
RULENAME(partialmatchlist) as "Rule Name", 
LONG(COUNT(*)) as "Number of Partial Matches" 
FROM events 
WHERE partialmatchlist IS NOT NULL  
GROUP BY "Event Processor Name", "Rule Name" 
ORDER BY "Number of Partial Matches" 
DESC 
LAST 1 HOURS

(in alto)


Consumo di archiviazione per tipo di origine log

Fornisce una ripartizione della memoria utilizzata da ogni tipo di log di origine durante 1 giorno.

Nota: questa interrogazione non include la memoria utilizzata per indici QRadar® . Tuttavia, la maggior parte degli indici sono equamente distribuiti tra tutti gli eventi indipendentemente dal tipo di origine log o dalla dimensione del payload.
SELECT 
LOGSOURCETYPENAME(deviceType) AS LogSource, 
LONG(MIN(STRLEN(UTF8(payload)))) AS "Minimum Payload Size (Bytes)", 
LONG(MAX(STRLEN(UTF8(payload)))) AS "Maximum Payload Size (Bytes)", 
LONG(AVG(STRLEN(UTF8(payload)))) AS "Average Payload Size (Bytes)", 
LONG(STDEV(STRLEN(UTF8(payload)))) AS "Standard Deviation (Bytes)",
LONG(COUNT(logsourceid)) AS EventCount,
LONG(EventCount * "Average Payload Size (Bytes)") / (1024 * 1024)  as "Total Storage (MB)"
FROM events 
GROUP BY deviceType 
ORDER BY "Total Storage (MB)" 
DESC
LAST 24 HOURS

(in alto)


Utilizzo della memoria

Fornisce un riepilogo giornaliero della quantità di archiviazione utilizzata su tutte le applicazioni QRadar .

SELECT DATEFORMAT(starttime, 'yyyy-MM-dd') as "Date", "Hostname" as "QRadar Appliance Name", 
LONG(MAX("Value")/(1024*1024*1024)) as "Storage Used (GB)"
FROM events 
WHERE (qid = 94000001) AND ((LONG(starttime/1000)%(24*3600)) < 20) AND ("Metric ID" = 'DiskSpaceUsed') AND (Element = '/store')
GROUP BY "Date", "Hostname"
ORDER BY "Date", "Hostname"
Suggerimento: Esegui la ricerca per un minimo di 1 giorno per restituire risultati. Per migliorare i risultati, indicizzare la proprietà personalizzata ID Metric .

(in alto)


utilizzo della CPU

Fornisce una suddivisione del tempo CPU utilizzato da ciascun componente su ogni applicazione QRadar .

SELECT DATEFORMAT(starttime, 'yyyy-MM-dd') as "Date", "Hostname" as "QRadar Appliance Name", 
"Component Type", LONG(SUM("Value")) as "CPU Time"
FROM events 
WHERE (qid = 94000001)  AND ("Metric ID" = 'ProcessCPUTime') 
GROUP BY "Date", "Hostname", "Component Type"
ORDER BY "Date", "Hostname", "Component Type"

(in alto)


Utilizzo della memoria

Fornisce una suddivisione della memoria heap utilizzata da ciascun componente su ogni appliance QRadar .

SELECT DATEFORMAT(starttime, 'yyyy-MM-dd') as "Date", "Hostname" as "QRadar Appliance Name", 
"Component Type", LONG(SUM("Value")/(1024*1024*1024)) as "Memory Usage Per Day (GB)"
FROM events 
WHERE (qid = 94000001)  AND ("Metric ID" = 'HeapMemoryUsed') 
GROUP BY "Date", "Hostname", "Component Type"
ORDER BY "Date", "Hostname", "Component Type"

(in alto)


Costosi CEPs, origini log e regole

Fornisce un elenco completo di CEP (complex event processing) costosi, origini log e regole identificate da QRadar.
Nota: questa istruzione utilizza le seguenti proprietà personalizzate dall'applicazione QRadar Development Intelligence: consusivecp, consusivelogsourcee consusiverules.
SELECT DATEFORMAT(starttime,'yyyy-MM-dd HH:mm:ss') as "timestamp",sourceip, "expensivecp","expensivelogsource","expensiverules", UTF8(payload)
FROM events 
WHERE devicetype=147 AND (expensivecp is not NULL OR expensivelogsource is not NULL OR expensiverules is not NULL) 
ORDER BY timestamp 
DESC
LAST 48 HOURS

(in alto)


Ricerche costose

Fornisce un elenco di ricerche eseguite nelle ultime 24 ore. L'elenco è ordinato in base al tempo di esecuzione.

Nota: questa istruzione utilizza le seguenti proprietà personalizzate dall'applicazione QRadar Development Intelligence: consusivecp, consusivelogsourcee consusiverules.
SELECT "searchid", "searchpriority", "searchlimit", "searchtime" 
FROM events 
WHERE qid=28250295 
ORDER BY searchtime 
DESC 
LAST 24 HOURS

(in alto)


Eseguite le ricerche AQL per utente

Fornisce un elenco di tutte le ricerche eseguite da ciascun utente.

Nota: questa istruzione utilizza le seguenti proprietà personalizzate dall'applicazione QRadar Development Intelligence: consusivecp, consusivelogsourcee consusiverules.
SELECT username, "Ariel Source", "Ariel Cursor ID", "searchpriority", "AQL Statement" 
FROM events 
WHERE qid=28250254 
ORDER BY username 
LAST 2 HOURS

(in alto)


Copia dei campioni di query

Se si copia e incolla un campione di query che contiene virgolette singole o doppie, è necessario ritentare le virgolette per essere sicuri che le analisi delle query.