AdministrationshandbuchAbfragen und BerichteSo erstellen Sie Abfragen › Hinzufügen von Abfragedetails

Vorheriges Thema: Öffnen des Assistenten für das Abfragedesign

Nächstes Thema: Festlegen von Abfragefiltern

Hinzufügen von Abfragedetails

Wenn Sie eine Abfrage erstellen, geben Sie zuerst die Informationen zur Kennzeichnung sowie sämtliche Kennungen ein, die berücksichtigt werden sollen.

So fügen Sie eine neue Abfrage hinzu:

  1. Öffnen Sie den Assistenten für Abfragedesign.
  2. Geben Sie einen Namen und wahlweise einen Kurznamen zur Verwendung in Berichten für die Abfrage ein. Der Kurzname wird im Abfragefenster des Berichts angezeigt, wenn die Abfrage in einen Bericht übernommen wird.
  3. Wählen Sie die Datenbank aus, auf die Ihre Abfrage angewendet werden soll:
    Ereignis

    Wendet die Abfrage auf die Ereignisdatenbank an, die alle Rohereignisse und verfeinerten Ereignisse speichert, die durch den aktuellen Server empfangen werden oder über die Föderation verfügbar sind.

    Incident

    Wendet die Abfrage auf die Incident-Datenbank an, die durch das Ereigniskorrelationssystem erstellte Incidents und Ereignisinformationen, die zur Erstellung dieser Incidents verwendet werden, speichert. Die bestimmten Komponenten eines Ereignisses, die dazu verwendet werden einen Incident zu erstellen und deshalb in der Incident-Datenbank gespeichert werden, werden durch die Korrelationsregel festgelegt.

  4. Im Feld "Beschreibung" können Sie etwaige zusätzliche Informationen eingeben.

    Hinweis: Es empfiehlt sich, in diesem Feld Informationen über die Struktur der Abfrage einzutragen. So könnten Sie beispielsweise erläutern, warum die Abfrage bestimmte Felder und Funktionen hat.

  5. Wählen Sie mithilfe der Wechselsteuerung für Kennungen eine oder mehrere Kennungen für die Abfrage aus.
  6. (Optional) Um eine benutzerdefinierte Kategoriekennung hinzuzufügen, geben Sie im Feld zum Hinzufügen einer benutzerdefinierten Kennung den Namen einer Kennung ein, und klicken Sie auf "Kennung hinzufügen".

    Die benutzerdefinierte Kennung wird in der Wechselsteuerung für Kennungen als bereits ausgewählt angezeigt.

  7. (Optional) Um einen oder mehrere geschachtelte benutzerdefinierte Kennungen hinzuzufügen, wählen Sie eine Kennung aus, oder geben Sie den Namen der übergeordneten Kategorienkennung ein, gefolgt von einem umgekehrten Schrägstrich und dem Namen der untergeordneten Kennung. Klicken Sie anschließend auf "Kennung hinzufügen". Sie könnten beispielsweise Folgendes eingeben: "Regulations\Industry-Standards". Sie können zusätzliche Kennungen hinzufügen, indem Sie folgendes Format beibehalten: a\b\c usw.

    Hinweis: Wenn Sie eine der benutzerdefinierten geschachtelten Kennungen löschen, werden alle benutzerdefinierten Kennungen, in denen sie geschachtelt wurde, auch einschließlich der übergeordneten Kennung, gelöscht. Wenn Sie eine benutzerdefinierte Kennung in einer Software-Update-Kennung schachteln und sie dann löschen, werden nur die benutzerdefinierten Kennungen gelöscht.

    Wenn Sie den Vorgang abschließen, werden die neuen Kennungen in der Liste angezeigt. Wenn Sie die übergeordnete Kennung einblenden, sind die geschachtelten benutzerdefinierten Kennungen sichtbar.

  8. Klicken Sie auf den entsprechenden Pfeil, um zu dem Schritt im Abfragedesign zu gelangen, den Sie als nächsten durchführen möchten, oder klicken Sie auf "Speichern und schließen".

    Bei Auswahl von "Speichern und schließen" wird die neue Abfrage in der Abfrageliste angezeigt. Andernfalls fahren Sie mit dem gewünschten Schritt fort.

Weitere Informationen:

Aufgaben mit Kennungen

Hinzufügen von Abfragespalten

Abfragen werden erstellt, indem Sie eine SQL-Anweisung schreiben, mit der die gewünschten Ereignisinformationen aus dem Ereignisprotokollspeicher abgerufen werden. Mit dem Assistenten für Abfragedesign erfolgt das nahezu automatisch.

So erstellen Sie eine SQL-Anweisung für Abfragen:

  1. Öffnen Sie den Assistenten für Abfragedesign.
  2. Geben Sie, wenn nicht bereits eingetragen, Namen und Kennung ein, und fahren Sie mit dem Schritt zur Bearbeitung der Abfragespalten fort.
  3. (Optional) Aktivieren Sie das Kontrollkästchen "Nur eindeutige Ereignisse".
  4. Wählen Sie die CEG-Spalten aus, die Sie in die Abfrage aufnehmen möchten, indem Sie sie aus der Liste der verfügbaren Spalten auf der linken Seite in den Fensterbereich "Ausgewählte Spalten" ziehen. In der Abfrageanzeige werden die Spalten in der Reihenfolge angezeigt, in der sie hinzugefügt wurden.
  5. (Optional) Wählen Sie die gewünschten Einstellungen für jede Spalte aus. Dazu gehören:
    Anzeigename

    Hiermit kann der Spaltenname geändert werden, der in einer Tabelle oder der Ereignisanzeige angezeigt wird. Wird kein Anzeigename angegeben, wird der systemeigene Feldname als Spaltenname verwendet. Ein Beispiel wäre "event_count".

    Funktion

    Damit können Sie eine der folgenden SQL-Funktionen auf die Spaltenwerte anwenden:

    • COUNT: gibt die Gesamtzahl der Ereignisse zurück.
    • AVG: gibt den Durchschnitt der Werte für "event_count" zurück. Diese Funktion ist nur für die Felder "event_count" verfügbar.
    • SUM: gibt die Summe der Werte für "event_count" zurück. Diese Funktion ist nur für die Felder "event_count" verfügbar.
    • TRIM: entfernt Leerzeichen im Abfragetext.
    • TOLOWER: wandelt den Abfragetext in Kleinbuchstaben um.
    • TOUPPER: wandelt den Abfragetext in Großbuchstaben um.
    • MIN: gibt den niedrigsten Ereigniswert zurück.
    • MAX: gibt den höchsten Ereigniswert zurück.
    • UNIQUECOUNT: gibt die Anzahl der eindeutigen Ereignisse zurück.
    Gruppenreihenfolge

    Legt fest, dass die ausgewählten Spalten in der Abfrageanzeige nach dem ausgewählten Attribut gruppiert angezeigt werden. Sie können beispielsweise die Abfrage so einstellen, dass Ereignisse nach Quellnamen gruppiert werden. Sie können die Reihenfolge bestimmen, in der diese Einstellung auf die verschiedenen Spalten angewendet wird. Sind die Werte der ersten Spalte identisch, werden die der zweiten verwendet. So können Sie beispielsweise mehrere Ereignisse aus derselben Quelle nach dem Benutzernamen gruppieren.

    Sortierreihenfolge

    Bestimmt die Reihenfolge, in der ausgewählte Werte sortiert werden. Sie können die Reihenfolge bestimmen, in der diese Einstellung auf die verschiedenen Spalten angewendet wird. Sind die Werte der ersten Spalte identisch, werden die der zweiten verwendet.

    Absteigend

    Legt fest, dass Spaltenwerte in absteigender Reihenfolge (vom höchsten zum niedrigsten Wert) und nicht standardmäßig in aufsteigender Reihenfolge angezeigt werden.

    Nicht Null

    Legt fest, ob die angezeigte Zeile, wenn sie keine Werte enthält, in einer Tabelle oder Ereignisanzeige erscheint. Mit dem Kontrollkästchen "Not Null" wird die Zeile, wenn sie keine Werte enthält, aus den Abfrageergebnissen gelöscht.

    Sichtbar

    Bestimmt, ob die Spalte in einer Tabelle oder Ereignisanzeige erscheint. Mit dieser Einstellung können Sie Spaltendaten in der Detailansicht zur Verfügung stellen, die nicht in der Abfrageanzeige erscheinen.

    Hinweis: Wenn Sie für eine Spalte eine andere Funktion als TRIM, TOLOWER, TOUPPER oder eine Einstellung zur Gruppenreihenfolge auswählen, müssen Sie für die restlichen Spalten dieselbe Einstellung vornehmen. Andernfalls wird in CA Enterprise Log Manager eine Fehlermeldung angezeigt.

  6. (Optional) Ändern Sie die Spaltenreihenfolge bei Bedarf mit dem nach oben oder unten zeigenden Pfeil oben im Fensterbereich "Ausgewählte Spalten".
  7. Klicken Sie auf den entsprechenden Pfeil, um zu dem Schritt im Abfragedesign zu gelangen, den Sie als nächsten durchführen möchten, oder klicken Sie auf "Speichern und schließen".

    Bei Auswahl von "Speichern und schließen" wird die neue Abfrage in der Abfrageliste angezeigt. Andernfalls fahren Sie mit dem gewünschten Schritt fort.