建立長條圖

長條圖可用於比較在一段時間內物件之間的類似屬性,例如在選定時段內不同日誌來源中的事件數目。

在開始之前

根據下列其中一個資料來源建立小組件,並確保您具有查詢結果:

程序

  1. 在小組件的 檢視 區段中,為圖表提供名稱並選取是否顯示標題及更新狀態。
  2. 選取 長條圖
  3. 一般 標籤上,設定下列內容:
    1. 選取種類的欄位。
    2. 設定種類的值。
    3. 選取顯示顏色。 如果您只有一個數列,請選擇以不同方式 (預設) 為每個長條著色,還是全部以一種顏色 (單色) 著色。 如果您有多個數列,請選擇每一個數列的顏色。
    4. 僅針對攻擊資料來源,按一下 其他選項,選取軸標籤,然後選擇如何聚集值。 下表說明可用的聚集選項:
      選項 說明
      不聚集 對於每一個唯一的種類(X 軸),傳回所選欄位的每個值的總和。
      第一個 對於每一個唯一的種類(X 軸),傳回所選欄位的第一個值。
      平均 對於每一個唯一的種類(X 軸),傳回所選欄位的平均值。
      總和 對於每一個唯一的種類(X 軸),傳回所選欄位的每個值的總和。
      計數 對於每一個唯一的種類(X 軸),傳回所選欄位的列計數。
      最大值 對於每一個唯一的種類(X 軸),傳回所選欄位的最大數值。
      最小值 對於每一個唯一的種類(X 軸),傳回所選欄位的最小數值。
    5. 選用項目: 如果您有許多資訊要傳達,請將 堆疊系列 設為 開啟。 堆疊圖可用於比較種類內的按比例貢獻。 它們會針對每個資料系列為總計貢獻的相對值繪圖。
    6. 針對要顯示的條欄選取 方向 : 垂直或水平。 預設方向是垂直。 如果您的種類有很長的標籤並且在顯示為垂直線圖表時會被截斷,或者您要顯示的資料不多時,請使用水平方向。
    7. 顯示圖註 設為 ,並設定方向。
  4. 標籤上,根據從查詢擷取的資料設定 種類軸類型 。 下表說明可用的軸類型:
    類型 說明
    該圖表嘗試根據資料集自動確定類型。
    線性 數值軸模式。 顯示一系列數字。 每個條欄代表每個所選欄位的一個唯一數值,並且條欄根據其值以線性方式劃分間距。
    種類 非數值軸模式。 每一個條欄代表一個唯一的種類。 條欄在圖表中等距顯示。
    日誌 數值軸模式。 條欄顯示成唯一的數值,並且根據其值以對數方式劃分間距。
  5. 根據從查詢中擷取的資料來設定 值軸類型 。 下表說明可用的軸類型:
    類型 說明
    視所選欄位而定,顯示一系列數字。
    線性 顯示一系列數字。
    日誌 顯示大量值(以對數 10 比例表示)。
  6. 值軸範圍 設為 開啟 ,以更容易比較不同圖表中的資料。
  7. 選用項目: 往下探查 標籤上,選擇在長條圖中按一下長條或區段時的往下探查動作。 您可以在來源應用程式中開啟儀表板、URL 或特定頁面 (IBM QRadarQRadar Analyst Workflow)。
    1. 如果您選擇開啟儀表板,請選取要開啟的儀表板,選擇性地選取儀表板參數值,然後選擇要在現行視窗或新視窗中開啟它。

      如果您設定參數,則會根據在長條圖中按一下的長條或區段,將它們傳遞至目標儀表板。 例如,如果您設定 ID 參數,則會將條欄或區段 ID 作為參數傳遞至目標儀表板。 如果您將儀表板參數值設為預設值,則不會將任何參數值傳遞至目標儀表板;在目標儀表板參數卡中使用現有階段作業或預設參數值,或者參數欄位為空白。

      提示: 如果您往下探查至相同視窗中的不同儀表板,則可以使用瀏覽途徑軌跡回到逐層分析路徑中的先前儀表板。
    2. 如果您選擇開啟 URL ,請指定用來開啟外部 URL 的絕對路徑 (例如 https://www.ibm.com) 或用來開啟 QRadar 頁面的相對路徑 (例如 DNS 查閱)。 URL 會在新的瀏覽器視窗中開啟。

      您可以在 URL 中的任何位置定義任意數目的參數。 以大括弧 ({}) 括住參數,然後為每一個參數選取一個值。

      下表列出具有參數的部分一般 QRadar URL:
      說明 URL
      QRadar 埠掃描

      資料來源必須包括來源或目的地 IP 位址。 {ip_address} 字串會為來源或目的地 IP 位址直欄定義 ip_address URL 參數。 然後,當您在表格列上往下探查時,埠掃描頁面會開啟至列的來源或目的地 IP 位址。

      		 
      /console/core/jsp/investigate.jsp?type=port_scan&host={ip_address}
      QRadar DNS 查閱

      資料來源必須包括來源或目的地 IP 位址。 {ip_address} 字串會為來源或目的地 IP 位址直欄定義 ip_address URL 參數。 然後,當您在表格列上往下探查時,DNS 查閱頁面會開啟至列的來源或目的地 IP 位址。

      		 
      /console/core/jsp/investigate.jsp?type=dns_lookup&host={ip_address}
      QRadar WHOIS 查閱

      資料來源必須包括來源或目的地 IP 位址。 {ip_address} 字串會為來源或目的地 IP 位址直欄定義 ip_address URL 參數。 然後,當您在表格列上往下探查時,WHOIS 查閱頁面會開啟至列的來源或目的地 IP 位址。

      		 
      /console/core/jsp/investigate.jsp?type=whois_lookup&host={ip_address}
      QRadar 攻擊摘要 頁面

      資料來源必須包括攻擊 ID。 {offense_id} 字串會定義 ID 直欄的 offense_id URL 參數。 然後,當您在表格列上往下探查時,「攻擊摘要」頁面會開啟至列的攻擊 ID。

      		 
      /console/do/sem/offensesummary?appName=Sem&pageId=OffenseSummary&summaryId={offense_id}
    3. 如果您選擇在來源應用程式中開啟頁面,請選取要開啟的頁面,並為每一個 URL 參數指定資料直欄。 (此時,只有「 攻擊摘要 」頁面可用,且只需要 offense_id URL 參數。)

      視來源應用程式而定,頁面將在 IBM QRadarQRadar Analyst Workflow 中開啟。

  8. 預覽圖表的外觀,然後按一下 儲存