棒グラフの作成

棒グラフは、選択した期間におけるさまざまなログ・ソースからのイベントの数など、類似の属性をオブジェクト間で時系列に沿って比較するのに役立ちます。

始める前に

以下のいずれかのデータ・ソースに基づいてウィジェットを作成し、照会結果があることを確認します。

手順

  1. ウィジェットの ビュー セクションで、グラフに名前を付け、タイトルと更新状況を表示するかどうかを選択します。
  2. 棒グラフを選択します。
  3. 一般 タブで、以下のプロパティーを設定します。
    1. カテゴリーのフィールドを選択します。
    2. カテゴリーの値を設定します。
    3. 表示する色を選択します。 シリーズが 1 つしかない場合は、それぞれの棒を異なる色にするか (デフォルト) 、すべて一色にするか (モノクローム) を選択します。 複数の系列がある場合は、各系列の色を選択します。
    4. オフェンス・データ・ソースの場合のみ、 その他のオプションをクリックし、軸ラベルを選択し、値の集計方法を選択します。 次の表で、選択可能な集約オプションについて説明します。
      オプション 説明
      集約なし 固有のカテゴリー (X 軸) ごとに、選択されたフィールドの各値の合計を返します。
      最初 固有のカテゴリー (X 軸) ごとに、選択されたフィールドの最初の値を返します。
      平均 固有のカテゴリー (X 軸) ごとに、選択されたフィールドの平均を返します。
      合計 固有のカテゴリー (X 軸) ごとに、選択されたフィールドの各値の合計を返します。
      固有のカテゴリー (X 軸) ごとに、選択されたフィールドの行数を返します。
      最大 固有のカテゴリー (X 軸) ごとに、選択されたフィールドの最大の数値を返します。
      最小 固有のカテゴリー (X 軸) ごとに、選択されたフィールドの最小の数値を返します。
    5. オプション: 伝達する情報が多い場合は、 スタック・シリーズオンに設定します。 積み上げグラフは、カテゴリー内で構成比率を比較するのに適しています。 合計に対する各データ系列の相対値をプロットします。
    6. 表示する棒の 方向 (垂直または水平) を選択します。 デフォルトの方向は、「垂直 (Vertical)」です。 「水平 (Horizontal)」の方向は、カテゴリーのラベルが長く、垂直棒グラフとして表示すると切り取られる可能性がある場合や、表示するデータの量が多くない場合に使用します。
    7. 凡例の表示はい に設定し、方向を設定します。
  4. 」タブで、照会から取得したデータに基づいて カテゴリー軸タイプ を設定します。 次の表で、使用可能な軸タイプについて説明します。
    タイプ 説明
    なし グラフでは、データ・セットに基づいてタイプを自動的に判別しようとします。
    線形 数値軸モード。 数値の範囲を表示します。 各棒は、選択された各フィールドの固有の数値を表し、値に応じて線形に間隔を置いて配置されます。
    カテゴリー 非数値軸モード。 各棒は、固有のカテゴリーを表します。 棒はグラフ表示に等間隔で配置されます。
    Log 数値軸モード。 棒は、固有の数値として表示され、値に応じて対数的に配置されます。
  5. 照会から取得したデータに基づいて 値軸タイプ を設定します。 次の表で、使用可能な軸タイプについて説明します。
    タイプ 説明
    なし 選択されたフィールドに応じて数値の範囲を表示します。
    線形 数値の範囲を表示します。
    Log log 10 のスケールで広範囲の値を表示します。
  6. 値軸範囲オン に設定すると、さまざまなグラフのデータの比較が容易になります。
  7. オプション: ドリルダウン (Drilldown) タブで、棒グラフで棒またはセグメントをクリックしたときのドリルダウン・アクションを選択します。 ソース アプリケーション ( IBM QRadar または QRadar Analyst Workflow) 内のダッシュボード、 URL、または特定のページを開くことができます。
    1. ダッシュボードを開くことを選択した場合、開くダッシュボードを選択し、オプションでダッシュボードのパラメーター値を選択し、現在のウィンドウと新しいウィンドウのいずれで開くかを選択します。

      パラメーターを設定すると、棒グラフでクリックされたバーまたはセグメントに基づいて、それらのパラメーターがターゲット・ダッシュボードに渡されます。 例えば、ID パラメーターを設定した場合、バーまたはセグメント ID がパラメーターとしてターゲット・ダッシュボードに渡されます。 ダッシュボードのパラメーター値を「デフォルト」に設定した場合、パラメーター値はターゲット・ダッシュボードに渡されません。既存のセッションの値またはデフォルトのパラメーター値が使用されるか、ターゲット・ダッシュボードのパラメーター ・カードのパラメーター・フィールドが空白になります。

      ヒント: 同じウィンドウ内で別のダッシュボードにドリルダウンすると、パンくずリストを使用して、ドリル・パス内の以前のダッシュボードに戻ることができます。
    2. URL を開く場合は、 URL (例 https://www.ibm.com を開く絶対パス、または DNSルックアップなどの QRadarを開く相対パスを指定します。 URLは新しいブラウザウィンドウで開きます。

      URL の任意の場所に任意の数のパラメーターを定義できます。 パラメーターを中括弧 ({})で囲み、次に各パラメーターの値を選択します。

      以下の表に、いくつかの標準的な QRadar URL とパラメーターをリストします。
      説明 URL
      QRadar ポート・スキャン

      データ・ソースに送信元 IP アドレスまたは宛先 IP アドレスを含める必要があります。 {ip_address} ストリングは、ソース IP アドレス列または宛先 IP アドレス列の ip_address URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行の送信元 IP アドレスまたは宛先 IP アドレスに対して「ポート・スキャン」ページが開かれます。

      		 
      /console/core/jsp/investigate.jsp?type=port_scan&host={ip_address}
      QRadar DNS 参照

      データ・ソースに送信元 IP アドレスまたは宛先 IP アドレスを含める必要があります。 {ip_address} ストリングは、ソース IP アドレス列または宛先 IP アドレス列の ip_address URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行の送信元 IP アドレスまたは宛先 IP アドレスに対して「DNS ルックアップ」ページが開かれます。

      		 
      /console/core/jsp/investigate.jsp?type=dns_lookup&host={ip_address}
      QRadar WHOIS ルックアップ

      データ・ソースに送信元 IP アドレスまたは宛先 IP アドレスを含める必要があります。 {ip_address} ストリングは、ソース IP アドレス列または宛先 IP アドレス列の ip_address URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行の送信元 IP アドレスまたは宛先 IP アドレスに対して「WHOIS ルックアップ」ページが開かれます。

      		 
      /console/core/jsp/investigate.jsp?type=whois_lookup&host={ip_address}
      QRadar 「オフェンスのサマリー」 ページ

      データ・ソースにオフェンス ID を含める必要があります。 {offense_id} ストリングは、ID 列の offense_id URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行のオフェンス ID に対して「オフェンスのサマリー」ページが開かれます。

      		 
      /console/do/sem/offensesummary?appName=Sem&pageId=OffenseSummary&summaryId={offense_id}
    3. ソース・アプリケーションでページを開くことを選択した場合は、開くページを選択し、URL パラメーターごとにデータ列を指定します。 (現時点では、 攻撃サマリーページのみが利用可能であり、 offense_id URLのみが必要です。)

      ソース・アプリケーションに応じて、ページは IBM QRadar または QRadar Analyst Workflow のいずれかで開きます。

  8. グラフの外観をプレビューし、 保存をクリックします。