表形式のチャートの作成

直接的な関係を持つ値が複数ある場合、表形式のチャートを使用します。

始める前に

以下のいずれかのデータ・ソースに基づいてウィジェットを作成し、照会結果があることを確認します。

手順

  1. ウィジェットの ビュー セクションで、グラフに名前を付け、タイトルと更新状況を表示するかどうかを選択します。
  2. テーブル表示を選択します。
  3. 一般 タブで、以下のプロパティーを設定します。
    1. すべての列を選択するか、表示する列を指定します。
    2. 特定の列を選択した場合は、各列の その他のオプション をクリックし、表示する列名を指定します。 また、列の位置合わせを指定するか、またはデフォルトの列設定から継承される位置合わせを使用する、データの書式を「なし」(書式設定なし)、「日付」「日時」「数値」(後者の形式では、ロケールでデフォルトの書式を使用) のいずれかに指定する、列の幅をピクセルまたはグラフの幅のパーセンテージで指定するなどのオプションを設定することもできます。
    3. 表内のすべての列に対するデフォルトの配置を選択します。
    4. 表のサイズと表示する項目の最大数を選択します。
  4. しきい値 タブで、グラフに条件付きカラー・フォーマットを表示するようにしきい値を設定します。
    1. しきい値インディケーターの追加をクリックします。
    2. イベントのマグニチュードなど、数値フィールドを照会で表示するために、しきい値を設定します。 しきい値の標識 (色、形状、またはその両方) を選択してから列を選択します。
    3. 色を選択した場合は、値を入力し、 値の追加 をクリックして色を選択するか、カラー・パレットに HTML 色コードを入力して、異なるグラフで同じ色を選択しやすくします。
    4. 形状を選択した場合は、値を入力し、 値の追加 をクリックして形状を選択します。
      色と形状のしきい値の標識を選択すると、表の左側の境界線ではなく形状に色が適用されます。 例えば、注意の状態は黄色の三角形で表示できます。 色と形状に同じしきい値を使用することができます。
      照会を実行して結果を取得し、しきい値設定を調べて、それらが適切に機能することを確認します。 数値以外の列をしきい値として選択しても無効です。
  5. オプション: ドリルダウン (Drilldown) タブで、表形式のグラフで行をクリックしたときのアクションを選択します。 ソース アプリケーション ( IBM QRadar または QRadar Analyst Workflow) 内のダッシュボード、 URL、または特定のページを開くことができます。
    1. ダッシュボードを開くことを選択した場合、開くダッシュボードを選択し、オプションでダッシュボードのパラメーター値を選択し、現在のウィンドウと新しいウィンドウのいずれで開くかを選択します。

      パラメーターを設定した場合、表形式のチャートでクリックした行に基づいて、それらのパラメーターがターゲット・ダッシュボードに渡されます。 例えば、ID パラメーターを設定した場合、バーまたはセグメント ID がパラメーターとしてターゲット・ダッシュボードに渡されます。 ダッシュボードのパラメーター値を「デフォルト」に設定した場合、パラメーター値はターゲット・ダッシュボードに渡されません。既存のセッションの値またはデフォルトのパラメーター値が使用されるか、ターゲット・ダッシュボードのパラメーター ・カードのパラメーター・フィールドが空白になります。

      ヒント: 同じウィンドウ内で別のダッシュボードにドリルダウンすると、パンくずリストを使用して、ドリル・パス内の以前のダッシュボードに戻ることができます。
    2. URL を開く場合は、 URL (例 https://www.ibm.com を開く絶対パス、または DNSルックアップなどの QRadarを開く相対パスを指定します。 URLは新しいブラウザウィンドウで開きます。

      URL の任意の場所に任意の数のパラメーターを定義できます。 パラメーターを中括弧 ({})で囲み、次に各パラメーターの値を選択します。

      以下の表に、いくつかの標準的な QRadar URL とパラメーターをリストします。
      説明 URL
      QRadar ポート・スキャン

      データ・ソースに送信元 IP アドレスまたは宛先 IP アドレスを含める必要があります。 {ip_address} ストリングは、ソース IP アドレス列または宛先 IP アドレス列の ip_address URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行の送信元 IP アドレスまたは宛先 IP アドレスに対して「ポート・スキャン」ページが開かれます。

      		 
      /console/core/jsp/investigate.jsp?type=port_scan&host={ip_address}
      QRadar DNS 参照

      データ・ソースに送信元 IP アドレスまたは宛先 IP アドレスを含める必要があります。 {ip_address} ストリングは、ソース IP アドレス列または宛先 IP アドレス列の ip_address URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行の送信元 IP アドレスまたは宛先 IP アドレスに対して「DNS ルックアップ」ページが開かれます。

      		 
      /console/core/jsp/investigate.jsp?type=dns_lookup&host={ip_address}
      QRadar WHOIS ルックアップ

      データ・ソースに送信元 IP アドレスまたは宛先 IP アドレスを含める必要があります。 {ip_address} ストリングは、ソース IP アドレス列または宛先 IP アドレス列の ip_address URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行の送信元 IP アドレスまたは宛先 IP アドレスに対して「WHOIS ルックアップ」ページが開かれます。

      		 
      /console/core/jsp/investigate.jsp?type=whois_lookup&host={ip_address}
      QRadar 「オフェンスのサマリー」 ページ

      データ・ソースにオフェンス ID を含める必要があります。 {offense_id} ストリングは、ID 列の offense_id URL パラメーターを定義します。 これで、テーブル行にドリルダウンしたときに、その行のオフェンス ID に対して「オフェンスのサマリー」ページが開かれます。

      		 
      /console/do/sem/offensesummary?appName=Sem&pageId=OffenseSummary&summaryId={offense_id}
  6. グラフの外観をプレビューし、 保存をクリックします。
    ヒント: グラフのラベルは使用されている照会から取得されます。 プレビューでわかりにくい場合は、「ビュー」セクションでラベルを編集します。