从 AQL 数据源创建窗口小部件

可以使用 Ariel 查询语言 (AQL) 语句来创建窗口小部件。 AQL 是一种结构化查询语言,用于从 IBM® QRadar®中的 Ariel 数据库抽取,过滤和处理事件和流数据。

在开始之前

请阅读 IBM QRadar Ariel Query Language Guide 中的以下主题,以了解您在 QRadar Pulse 中使用的 Ariel Query Language ,以基于 AQL 数据源创建仪表板项:

  • Ariel 查询语言概述

    在概述部分中,多个主题解释可供您使用的语句和子句。 当您在查询字段中输入语句和子句时,这些语句和子句在 QRadarQRadar Pulse 中显示为 关键字

  • AQL 查询的事件,流和 simarc 字段

    使用 AQL 可以从 Ariel 数据库的 events、flows 和 simarc 表中检索特定字段。

关于此任务

管理员无法为其他用户创建窗口小部件或仪表板,但他们可以与其他用户共享自己的仪表板。

过程

  1. 单击 配置仪表板

    配置仪表板屏幕显示可用窗口小部件的库,其中包含有关每个窗口小部件的详细信息。

  2. 单击 创建新的窗口小部件
  3. 新建仪表板项 页面上,输入窗口小部件的名称和描述。
  4. 查询 部分的数据源列表中选择 AQL ,然后输入 AQL 语句。 有关更多信息,请参阅 用于为仪表板图表创建 AQL 查询的提示
    1. 在语句中插入现有参数。 单击插入参数图标,然后对每个相关参数单击插入
    2. 要更改该参数的缺省值,请单击 视图参数 图标,并在设置缺省值后单击 保存
      更改参数的缺省值时,将更改工作空间中使用该参数的所有位置的值,但已展开或固定的仪表板和窗口小部件除外。 如果未将值设置为缺省值,那么更新后的更改仅应用于当前会话。 但是,如果将值设置为缺省值,那么当前会话值也会使用该值。
      提示: 预定义的 SYSTEM:username 参数返回登录用户的用户名。 系统参数是只读的,不能更改缺省值。
    3. 要将参数添加到工作空间,请单击 添加,为参数提供名称和缺省值 (如果需要) ,然后单击 保存
      提示: 首次向仪表板上的窗口小部件添加参数后, 参数 卡将显示在仪表板上。 如果从窗口小部件中移除参数,并且该仪表板中没有其他窗口小部件在使用相应参数,那么参数卡会消失。
  5. 为轮询数据源的频率选择刷新时间。 请选择大于所选查询时间的刷新率。 缺省刷新率为每 5 分钟。 刷新时间越短,对 IBM QRadar的性能影响越大。 刷新率计时器在查询完成后开始计时。
    例如,如果刷新率为每分钟一次,而查询需要 3 分钟完成,那么刷新率在 3 分钟运行结束后才会开始计算。
  6. 单击 运行查询
    首次创建窗口小部件时,如果未返回任何数据结果,那么无法配置图表。 请尝试放宽字段中条件的限制,然后重新运行查询。

    如果 AQL 查询包含没有任何值的参数,请在“参数”页面上输入这些值。 输入每个参数的值,以便查询成功运行。 如果查询成功,结果会显示在语句旁边。

  7. 视图 部分中创建视图。
    因为可以从同一个查询创建多个视图和图表,所以请为视图指定唯一名称。 缺省情况下,在标题栏上会显示图表的标题和状态;要隐藏这些内容,请单击更多选项图标,并将相应设置切换为关闭
  8. 选择图表类型并配置相关属性。 有关帮助您决定要使用哪种图表类型的用例,请参阅 窗口小部件图表类型
    图表类型 指示信息
    条形图 创建条形图
    大数图 创建大数图
    地理 创建地理图
    饼图 创建饼图
    散布图 创建散点图
    表格 创建表格图
    时间序列 创建时间序列图
  9. 预览图表的外观,然后单击 保存
    提示: 图表的标签来自使用的查询。 如果这些标签在预览中不可理解,请在视图部分中编辑它们。

结果

您可以编辑并保存窗口小部件,而无需重新运行查询。 例如,如果查询没有返回结果(如时间段不够长,无法选取新事件时),或者如果在运行查询时规模或严重性值不适用,那么可以保存窗口小部件。 如果编辑了查询,那么必须重新运行查询,然后才能保存窗口小部件。

删除窗口小部件会将其从其所属的每个仪表板中除去。 如果删除的仪表板包含参数,那么不会删除这些参数。