このシナリオ例では、2 つのパラメーターを作成し、 QRadar 「SIEM 分析」 ダッシュボードの 「上位 10 件のログ・ソース」 ウィジェットに追加します。
手順
- をクリックします。
- 「新規パラメーターの追加」 をクリックして、2 つのパラメーターを作成します。1 つは Time
Period という名前で、値は HOURS、もう 1 つは Time
Value という名前で、値は 2です。 各パラメーターを作成した後、「保存」をクリックします。 パラメーターは、ワークスペース内のすべてのウィジェットで使用できるようになります。
- 「閉じる」をクリックします。
- 「上位 10 件のログ・ソース」 ウィジェット・カードで、 「項目の編集」 アイコンをクリックします。
「AQL ステートメント」 フィールドでは、照会は以下の例のようになります。
SELECT logsourcename(logsourceid) as 'MY Log Sources',
LONG(SUM("SUM_eventcount")/(2*60*60)) event_rate
FROM GLOBALVIEW('Top Log Sources','NORMAL')
WHERE logSourceId not in (62,63,64,65,66,67,68,69)
GROUP BY logsourceid
ORDER BY event_rate DESC
LIMIT 10
LAST 2 HOURS
- 「AQL ステートメント」 フィールドの照会を変更するには、以下のステップを実行します。
- 置換
HOURS するには、 「パラメーターの挿入」 アイコンをクリックしてから、 Time Period パラメーターの 「挿入」 をクリックします。
-
2 を Time Valueに置き換え、 「照会の実行」をクリックします。 更新された照会は、次の例のようになります。
SELECT logsourcename(logsourceid) as 'MY Log Sources',
LONG(SUM("SUM_eventcount")/(2*60*60)) event_rate
FROM GLOBALVIEW('Top Log Sources','NORMAL')
WHERE logSourceId not in (62,63,64,65,66,67,68,69)
GROUP BY logsourceid
ORDER BY event_rate DESC
LIMIT 10
LAST
{Time Value}
{Time Period}
- 照会が正常に実行されたら、 「保存」をクリックします。
結果
新しいパラメーターは「パラメーター」カードに追加され、ワークスペースのデフォルト値であることを示すために先頭にアスタリスク (*) が付けられます。 このダッシュボードのウィジェットで使用されているパラメーターのみが、パラメーター・カードに表示されます。 システム・パラメーターは読み取り専用です。