ダッシュボードの追加

IBM® Security QRadar® AQL 照会結果を表示するためのダッシュボードを追加します。 ダッシュボードにパネルを追加して、複数の照会の結果を表示することができます。

このタスクについて

重要: IBM Security QRadar AQL Pluginはevents、flows、globalviewのArielデータベースをサポートします。 AQL関数の構文はすべてのクエリで同じです。
重要:

AS 演算子で使用される IBM Security QRadar AQL Plugin カスタム列名では、以下の文字はサポートされません。

  • 大文字
  • スペースまたは下線
  • 特殊文字

手順

  1. Grafana インスタンスで、ナビゲーション・メニューから 「ダッシュボード」をクリックします。
  2. 「ダッシュボード」 ページで、 新規 > 「新規ダッシュボード」をクリックします。
  3. 「新規ダッシュボード」 ページで、 「可視化の追加」をクリックします。
  4. 「照会」 タブの 「データ・ソース」 フィールドで、 IBM Security QRadar AQL Pluginを選択します。
    ヒント: 複数のデータ・ソースを照会するダッシュボード・パネルを追加できます。 複数のデータ・ソースを照会するには、 「混合」を選択します。
  5. 「結果範囲」 フィールドに、このパネル照会の範囲値を入力します。 この値は、データ・ソース範囲構成値をオーバーライドします。
  6. AQL クエリーを入力します。
    重要: 以下の AQL 照会のフォーマット設定が必要です。

    AQL DATEFORMAT 関数は、以下のパターンをサポートします。

    yyyy-MM-dd hh:mm:ss
    AQL 関数 構文
    日付/時刻

    UNIX タイム・スタンプ

    select starttime from events limit 5

    AQL DATEFORMAT 関数は、以下のパターンをサポートします。

    yyyy-MM-dd hh:mm:ss
    数値

    フィールドの計算には、AQL フォーマット関数が必要です。

    select  long(starttime/1000*60) from events limit 5
    MetaData
    AQL メタデータ・フィールドには、二重引用符と AS 演算子が必要であり、既知の AQL データ型にマッピングされます。
    select "Events per Second Raw - Average 1 Min" as double from events
    select “element” as str from events
    GEO::LOOKUP_TEXT
    AQL GEO::LOOKUP関数はデータ型のキャストとAS演算子を必要とします。
    double(GEO::LOOKUP_TEXT(destinationip, 'latitude')) as latitude,
double(GEO::LOOKUP_TEXT(destinationip, 'longitude')) as longitude,
str(GEO::LOOKUP_TEXT(destinationip, 'country_name')) as countryname
    IF / ELSE

    AQLのIF条件演算子は、メインのクエリで使用する場合、'='記号とAS演算子を必要とします。

    SELECT sourceip, 
IF hostname = 'some_hostname' THEN 'ADMIN' 
ELSE hostname AS host 
FROM events
  7. 「照会の実行」をクリックします。
  8. オプション: 「タイトル」 フィールドに、パネルの名前を入力します。
  9. オプション: パネルのパラメーターを構成します。
  10. パネルの変更を適用して 「ダッシュボード」 ページに戻るには、 「適用」をクリックします。
    重要: 変更を適用しても、ダッシュボードは保存されません。
    • 「ダッシュボード」 ページからダッシュボードに別のパネルを追加するには、 「パネルの追加」 アイコン () をクリックします。
    • ダッシュボードページから変更を保存するには、保存アイコン(「保存」アイコン)をクリックします。
  11. ダッシュボードを保存するには、 「保存」をクリックします。
  12. 「ダッシュボードの保存」 パネルで、ダッシュボードの名前を入力します。
  13. 「フォルダー」 フィールドで、フォルダーを選択するか名前を入力して新規フォルダーを作成し、 「保存」をクリックします。
    ADashboard savedメッセージが表示されます。 選択したフォルダーの 「ダッシュボード」 ページにダッシュボードが保存されます。
  14. ダッシュボードを編集するには、以下の手順を実行します。
    1. 「ダッシュボード」 ページで、編集するダッシュボードをクリックします。
    2. 編集したいパネルで、メニューアイコン(メニュー・アイコン)をクリックし、編集をクリックします
    3. ダッシュボードを編集し、 「保存」をクリックします。
    4. 「ダッシュボードの保存」 パネルで、変更の説明を入力し、 「保存」をクリックします。
  15. ダッシュボードを削除するには、以下の手順を実行します。
    1. ダッシュボードページで、自分のダッシュボードをクリックし、ダッシュボード設定アイコン(ダッシュボード設定アイコン)をクリックします
    2. 「ダッシュボードの削除」をクリックします。
    3. 「削除」 ウィンドウで、 「削除」をクリックします。

次に実行するタスク

注意: Grafana Enterprise および Grafana Cloud バージョンでは、ダッシュボード レポートを構成、生成、および配布できます。 詳細は、レポートの作成と管理(Grafana)を参照してください。 Grafana クラウド構成設定 (rendering_timeout) を更新して、プラグインのダッシュボード レポートを正常にレンダリングできるようにします (Grafana サポートにお問い合わせください)。