Агрегация данных для создания диаграммы временных рядов

В этом примере вы узнаете, как создать диаграмму временных рядов, чтобы показать число событий за каждую минуту для категории Аутентификация пользователей SIM. Вы используете глобальные представления, чтобы агрегировать данные в формате, который IBM® QRadar Pulse может вывести на экран.

Запрос AQL, чтобы сгенерировать график временных рядов, выглядит следующим образом:

select categoryname(category) as 'catname',
category as 'Все категории',
count(category) as 'catcount',
first(starttime) as 'Время'
from events
where category = 16001
group by category, starttime/60000
order by Time
last 1 hours

На полученном графике показано число входов в систему за последний час. Однако, если вы хотите запускать запрос для периода, превышающего 24 часа, получить информацию за несколько дней может оказаться затруднительным. В этом случае могут помочь представления агрегированных данных, которые также называются глобальными представлениями. Сохраненный поиск, при котором данные группируются в соответствии с несколькими полями, генерирует глобальное представление, где содержится много уникальных записей. По мере увеличения объема данных это может влиять на использование диска, время обработки и производительность поиска. Чтобы не допустить увеличения объема данных, агрегируйте поиск только на основе необходимых полей. Влияние на накопитель можно уменьшить, добавив к критериям поиска фильтр.