Guía de administraciónConsultas e informesCreación de consultas › Adición de detalles de consultas

Tema anterior: Apertura del asistente de diseño de consulta

Tema siguiente: Configuración de filtros de consultas

Adición de detalles de consultas

El primer paso para crear una consulta nueva es introducir información de identificación y configurar las etiquetas que desee incluir.

Para agregar consultas nuevas

  1. Abra el asistente de diseño de consulta.
  2. Introduzca un nombre de consulta (obligatorio) y un nombre corto (opcional) para su empleo en los informes. El nombre corto aparece en el panel de consulta individual del informe cuando la consulta se incluye en un informe.
  3. Seleccione la base de datos a la que desea aplicar su consulta:
    Evento

    Aplica la consulta a la base de datos de eventos, que almacena toda la información de eventos sin formato y refinados recibida por el servidor actual, o disponible a través de federación.

    Incidente

    Aplica la consulta a la base de datos de incidentes, que almacena los incidentes creados por el sistema de correlación de eventos y la información de eventos utilizada para crear esos incidentes. La regla de correlación establece los componentes específicos de un evento utilizados para crear un incidente y que, por ello, se almacenan en la base de datos de incidentes.

  4. Introduzca las notas de diseño que desee en el campo de introducción Descripción.

    Nota: Le recomendamos emplear este campo para introducir información sobre la estructura de la consulta. Por ejemplo, puede contener una explicación sobre las razones por las que la consulta contiene determinados campos y funciones.

  5. Seleccione una o más etiquetas a las que desee asociar la consulta mediante el control de cambio de etiquetas.
  6. (Opcional) Para agregar una etiqueta de categoría personalizada, introduzca un nombre de etiqueta en el campo de adición de etiquetas personalizadas y haga clic en el botón Agregar etiqueta.

    Aparece la etiqueta personalizada, ya seleccionada, en el control de cambio de etiquetas.

  7. (Opcional) Para agregar una o más etiquetas anidadas personalizadas, seleccione una etiqueta, o escriba el nombre de la etiqueta de categoría principal, seguido por una barra diagonal inversa y por el nombre de la etiqueta secundaria y, a continuación, haga clic en Agregar etiqueta. Por ejemplo, podría escribir: "Normativas\estándares del sector". Puede agregar etiquetas adicionales manteniendo el formato a\b\c...

    Nota: Si suprime una de las etiquetas anidadas personalizadas, todas las etiquetas personalizadas en las cuales se anida se suprimen también, incluida la etiqueta principal. Si anida una etiqueta personalizada dentro de una etiqueta de suscripción y, a continuación, la suprime, solamente se suprimen las etiquetas personalizadas.

    Cuando complete el proceso, las nuevas etiquetas aparecerán en la lista, y la etiqueta anidada personalizada estará visible al expandir la etiqueta principal.

  8. Haga clic en la flecha correspondiente para avanzar al paso de diseño de consulta que quiera completar a continuación, o haga clic en Guardar y cerrar.

    Si hace clic en Guardar y cerrar, la consulta nueva aparece en la lista de consultas; si no es así, aparece el paso de diseño de consulta que haya seleccionado.

Más información:

Asignación de etiquetas a tareas

Adición de columnas de consulta

Para crear una consulta, escriba una instrucción SQL que recupere la información del evento que desee del almacén de registro de eventos. El asistente de diseño de consulta le permite automatizar este proceso.

Para crear instrucciones SQL de consultas

  1. Abra el asistente de diseño de consulta.
  2. Introduzca el nombre y la etiqueta, si no se han especificado aún, y vaya al paso Columnas de consulta.
  3. (Opcional) Seleccione la casilla de verificación Sólo eventos únicos.
  4. Especifique las columnas de gramática de eventos comunes que quiera incluir en la consulta arrastrándolos desde la lista de columnas disponibles del lado izquierdo al campo Columna del panel Columnas seleccionadas. Aparecerán en la pantalla de consultas en el orden en el que se introduzcan.
  5. (Opcional) Seleccione la configuración que quiere para cada columna, incluyendo:
    Mostrar nombre

    Le permite introducir un nombre diferente para la columna cuando se muestra en formato de tabla o de visor de eventos. Si no introduce ningún nombre para mostrar, se emplea el nombre de campo nativo como nombre de columna; por ejemplo, "event_count".

    Función

    Permite aplicar una de las siguientes funciones SQL a los valores de la columna:

    • COUNT: devuelve el número total de eventos.
    • AVG: devuelve el promedio de los valores de event_count. Esta función sólo está disponible para campos de event_count.
    • SUM: devuelve la suma de los valores de event_count. Esta función sólo está disponible para campos de event_count.
    • TRIM: elimina los espacios de la cadena de texto incluida en la consulta.
    • TOLOWER: convierte la cadena de texto incluida en la consulta a minúsculas.
    • TOLOWER: convierte la cadena de texto incluida en la consulta a mayúsculas.
    • MIN: devuelve el valor del evento más bajo.
    • MAX: devuelve el valor del evento más elevado.
    • UNIQUECOUNT: devuelve el número de eventos únicos.
    Orden de grupo

    Configura la pantalla de consulta para mostrar las columnas seleccionadas agrupadas por el atributo seleccionado. Por ejemplo, puede configurar la consulta para agrupar eventos por nombre de origen. Puede controlar el orden en que se aplica a varias columnas. Si los valores de la primera columna son idénticos, se aplicará la segunda. Por ejemplo, puede agrupar varios eventos con el mismo origen por nombre de usuario.

    Orden de clasificación

    Controla el orden de los valores seleccionados. Puede controlar el orden en que se aplica a varias columnas. Si los valores de la primera columna son idénticos, se aplicará la segunda.

    Descendente

    Define la visualización de los valores de la columna para que se muestre en orden descendente (del mayor valor al menor) en lugar de en el orden ascendente predeterminado.

    No nulo

    Controla si la fila se muestra en una tabla o en el visor de eventos si no contiene ningún valor. La selección de la casilla de verificación No nulo elimina la fila del resultado de la consulta si no contiene valores visualizables.

    Visible

    Controla si la columna es visible en formato de tabla o de visor de eventos. Puede utilizar esta configuración para hacer que los datos de la columna estén disponibles en la vista de detalles sin que aparezcan en la propia pantalla.

    Nota: Si selecciona una función, excepto TRIM; TOLOWER, TOUPPER o un valor de orden de grupo para una columna, deberá utilizar el mismo valor también para el resto de columnas. En caso contrario, CA Enterprise Log Manager mostrará mensajes de error.

  6. (Opcional) Utilice las flechas hacia arriba y hacia abajo situadas en la parte superior del panel Columnas seleccionadas para cambiar el orden de las columnas según sus necesidades.
  7. Haga clic en la flecha correspondiente para avanzar al paso de diseño de consulta que quiera completar a continuación, o haga clic en Guardar y cerrar.

    Si hace clic en Guardar y cerrar, la consulta nueva aparece en la lista de consultas; si no es así, aparece el paso de diseño de consulta que haya seleccionado.