Добавление запроса AQL

Добавление запросов и запланированных запусков AQL для генерирования результатов. Если во время конфигурирования вы сконфигурировали сервер электронной почты, вы можете делиться результатами с коллегами посредством электронной почты.

  1. На главной странице приложения щелкните по Добавить запрос.
  2. В окне Добавить новый запрос введите уникальное Имя запроса.
  3. Введите запрос AQL. Например, SELECT * FROM EVENTS.
  4. Если во время конфигурирования был настроен сервер электронной почты, введите адреса электронной почты для уведомления и выберите формат вложения электронной почты при завершении запроса. Дополнительная информация приведена в разделе Конфигурирование QRadar Event and Flow Exporter.
  5. Если вы хотите запускать запросы автоматически через определенные интервалы времени, выберите расписание для выполнения запроса. Вы также можете выбрать завершение расписания после заданного количества запусков запроса, например трех повторений.
  6. Чтобы просмотреть пример запуска своего добавленного запроса, щелкните по Предварительный просмотр. Предварительный просмотр проверяет запрос на наличие синтаксических ошибок, чтобы запросы с синтаксическими ошибками не добавлялись в приложение.
  7. Сохраните запрос AQL с предоставленными вами данными.
  8. Чтобы изменить сведения об электронной почте или расписание, щелкните по ссылке с именем запроса, чтобы открыть окно Сведения о запросе. Сделайте необходимые изменения и сохраните их.
    Важное замечание: Вы не можете изменить изменить имя запроса или строку запроса AQL, так как они связаны с результатами запроса (смотрите шаг 9).
  9. Чтобы изменить строку запроса, щелкните по Копировать, чтобы скопировать ее в буфер обмена, и вставьте ее в текстовый редактор. Измените строку запроса, а затем создайте новый запрос с обновленной строкой запроса AQL.
  10. Чтобы удалить запрос из QRadar Event and Flow Exporter, включите соответствующий переключатель, а затем щелкните по значку мусорной корзины в полосе меню.
    Также для запроса будут удалены все связанные с ним результаты и расписания.
Запрос будет добавлен в таблицу Запросы.
Загрузка сохраненных поисков из QRadar или Генерирование и скачивание результатов запросов