创建表格图

当您有多组彼此之间存在直接关系的值时，表格图适用。

在开始之前

根据下列其中一个数据源创建窗口小部件，并确保您具有查询结果:

过程

在窗口小部件的视图部分中，为图表提供一个名称，并选择是否显示标题和更新状态。
选择表格显示。
在一般选项卡上，设置以下属性:
1. 选中所有的列，或指定所要显示的列。
2. 如果您选择了特定列，请针对每一列单击更多选项，并为该列提供要显示的名称。您还可以设置以下选项：指定列对齐或使用从缺省列设置继承的对齐；将数据格式指定为无（未应用格式设置）、日期、日期和时间或数字（后一种格式使用语言环境缺省格式设置）；以像素为单位指定列宽，或以图表宽度百分比的形式指定列宽。
3. 选择表中所有列的缺省对齐方式。
4. 选择表大小以及要显示的最大项数。
在阈值选项卡上，设置阈值以在图表中显示条件颜色格式化。
1. 单击添加阈值指示符。
2. 设置阈值以显示该查询中的任何数字字段，例如事件规模。选择阈值指示符（颜色、形状或两者），然后选择该列。
3. 如果您选择了颜色，请输入值，然后单击添加值以选取颜色或在调色板中输入 HTML 颜色代码，以便在不同图表上更轻松地选择相同颜色。
4. 如果您选择了形状，请输入值，然后单击添加值以选取形状。
  如果选择颜色和形状阈值指示符，那么颜色将应用于形状而不是表的左边框。例如，警告状态可以显示为黄色三角形。可以对颜色和形状使用相同的阈值。
  运行该查询以获取结果，并检查阈值设置，确保它们正常工作。选择非数字列作为阈值无效。

可选: 在向下钻取选项卡上，选择在表格图表中单击某一行时执行的操作。您可以在源应用程序（ IBM QRadar 或 QRadar Analyst Workflow）中打开仪表板、 URL 或特定页面。

如果选择打开仪表板，请选择要打开的仪表板，（可选）选择仪表板参数值，然后选择是在当前窗口中打开还是在新窗口中打开。

如果设置参数，那么将根据在表格图中单击的行，将参数传递到目标仪表板。例如，如果设置了标识参数，那么条形或段标识将作为参数传递到目标仪表板。如果将仪表板参数值设置为缺省值，那么系统不会将任何参数值传递到目标仪表板；系统将使用现有会话或缺省参数值，或者目标仪表板参数卡中的参数字段为空白。

提示：如果您向下钻取到同一窗口中的其他仪表板，那么可以使用痕迹跟踪以返回到钻取路径中的先前仪表板。

如果您选择打开URL ，请指定一个绝对路径来打开URL （例如 https://www.ibm.com ），或者一个相对路径来打开 QRadar ，例如 DNS查询。 URL将在新的浏览器窗口中打开。

您可以在 URL 中的任何位置定义任意数量的参数。将参数用花括号 ({}) 括起，然后为每个参数选择一个值。

下表列出了一些具有参数的典型 QRadar URL:

描述	URL
QRadar 端口扫描数据源必须包含源或目标 IP 地址。 `{ip_address}` 字符串定义源或目标 IP 地址列的 ip_address URL 参数。然后，在表行上向下钻取时，端口扫描页面将打开至行的源或目标 IP 地址。	`/console/core/jsp/investigate.jsp?type=port_scan&host={ip_address}`
QRadar DNS 查找数据源必须包含源或目标 IP 地址。 `{ip_address}` 字符串定义源或目标 IP 地址列的 ip_address URL 参数。然后，在表行上向下钻取时，DNS 查找页面将打开至行的源或目标 IP 地址。	`/console/core/jsp/investigate.jsp?type=dns_lookup&host={ip_address}`
QRadar WHOIS 查找数据源必须包含源或目标 IP 地址。 `{ip_address}` 字符串定义源或目标 IP 地址列的 ip_address URL 参数。然后，在表行上向下钻取时，WHOIS 查找页面将打开至行的源或目标 IP 地址。	`/console/core/jsp/investigate.jsp?type=whois_lookup&host={ip_address}`
QRadar 攻击摘要页面数据源必须包含攻击标识。 `{offense_id}` 字符串定义标识列的 offense_id URL 参数。然后，在表行上向下钻取时，“攻击摘要”页面将打开至行的攻击标识。	`/console/do/sem/offensesummary?appName=Sem&pageId=OffenseSummary&summaryId={offense_id}`

预览图表的外观，然后单击保存。

提示：图表的标签来自使用的查询。如果这些标签在预览中不可理解，请在视图部分中编辑它们。