Manuel d'administrationRequêtes et rapportsCréation d'une requête › Ajout des détails de la requête

Rubrique précédente: Ouverture de l'assistant de conception de la requête

Rubrique suivante: Définition de filtres de requête

Ajout des détails de la requête

La première étape de la création d'une requête consiste à saisir les informations d'identification et à définir les balises à inclure.

Pour ajouter une nouvelle requête

  1. Ouvrez l'assistant de conception de la requête.
  2. Saisissez un nom de requête (obligatoire) et un nom abrégé (facultatif) à utiliser dans les rapports. Le nom abrégé apparaît dans le volet de requête du rapport lorsque la requête est incluse dans le rapport.
  3. Sélectionnez la base de données à laquelle vous voulez appliquer la requête :
    Evénement

    Applique la requête à la base de données d'événements, qui stocke toutes les informations d'événement brutes et affinées reçues par le serveur actuel ou disponibles via la fédération.

    Incident

    Applique la requête à la base de données d'incidents, qui stocke les incidents créés par le système de corrélation d'événements et les informations d'événements utilisées pour la création de ces incidents. Les composants spécifiques d'un événement qui sont utilisés pour créer un incident et stockés dans la base de données d'incidents, sont définis par la règle de corrélation.

  4. Si vous le souhaitez, entrez des remarques de conception dans le champ de saisie Description.

    Remarque : Nous recommandons d'utiliser ce champ pour entrer des informations sur la structure de la requête. Vous pouvez par exemple y expliquer de manière détaillée pourquoi la requête contient certains champs et fonctions.

  5. Sélectionnez une ou plusieurs balises auxquelles associer votre requête à l'aide du contrôle de déplacement Balises.
  6. Pour ajouter une balise de catégorie personnalisée, saisissez un nom de balise dans le champ de saisie Ajouter une balise personnalisée et cliquez sur le bouton Ajouter une balise (facultatif).

    La balise personnalisée apparaît, déjà sélectionnée, dans le contrôle de déplacement Balises.

  7. (Facultatif) Pour ajouter une ou plusieurs balises personnalisées imbriquées, sélectionnez une balise ou entrez le nom de la balise de la catégorie parente, suivie d'une barre oblique inversée, puis du nom de la balise enfant. Cliquez sur Ajouter une balise. Par exemple, vous pouvez saisir : Réglementation\Normes du secteur. Vous pouvez ajouter des balises supplémentaires, en conservant le format : a\b\c etc.

    Remarque : Si vous supprimez une balise imbriquée personnalisée, toutes les balises personnalisées la contenant sont également supprimées, y compris la balise parente. Si vous imbriquez une balise personnalisée dans une balise d'abonnement, puis le supprimez, seules les balises personnalisées sont supprimées.

    Une fois l'opération terminée, les nouvelles balises apparaissent dans la liste et les balises personnalisées imbriquées s'affichent lorsque vous développez la balise parente.

  8. Cliquez sur la flèche appropriée pour passer à l'étape Conception de la requête que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, la nouvelle requête apparaît dans la Liste de requêtes. Sinon, l'étape Conception de la requête choisie s'affiche.

Informations complémentaires :

Tâches liées aux balises

Ajout de colonnes de requête

Pour créer une requête, écrivez une instruction SQL qui récupère les informations d'événement souhaitées du magasin de journaux d'événements. L'assistant de conception de la requête aide à automatiser ce processus.

Pour créer une instruction SQL de requête

  1. Ouvrez l'assistant de conception de la requête.
  2. Saisissez le nom et la balise, s'ils ne sont pas déjà spécifiés, puis passez à l'étape Colonnes de requêtes.
  3. Sélectionnez la case Evénements uniques seulement (facultatif).
  4. Définissez les colonnes CEG à interroger en les faisant glisser depuis la liste Colonnes disponibles située sur la gauche vers le champ Colonne du volet Colonnes sélectionnées. Elles apparaissent dans l'affichage de la requête, dans l'ordre de saisie.
  5. Sélectionnez les paramètres souhaités pour chaque colonne (facultatif).
    Nom d'affichage

    Vous permet de saisir un autre nom pour la colonne au format Table ou Visionneuse d'événements. Si vous ne saisissez aucun Nom d'affichage, le nom du champ natif est utilisé en tant que nom de colonne, "nombre_événements" par exemple.

    Fonction

    Vous permet d'appliquer l'une des fonctions SQL suivantes aux valeurs de la colonne.

    • COUNT : renvoie le nombre total d'événements.
    • AVG : renvoie la moyenne des valeurs nombre_événements. Cette fonction est uniquement disponible pour les champs nombre_événements.
    • SUM : renvoie la somme des valeurs nombre_événements. Cette fonction est uniquement disponible pour les champs nombre_événements.
    • TRIM : supprime tous les espaces dans la chaîne de texte de la recherche.
    • TOLOWER : convertit la chaîne de texte de la recherche en minuscules.
    • TOUPPER : convertit la chaîne de texte de la recherche en majuscules.
    • MIN : renvoie la valeur d'événement la plus basse.
    • MAX : renvoie la valeur d'événement la plus haute.
    • UNIQUECOUNT : renvoie le nombre total d'événements.
    Ordre de regroupement

    Définit l'affichage de la requête pour afficher les colonnes sélectionnées regroupées par l'attribut désigné. Par exemple, vous pouvez définir la requête pour regrouper les événements par nom de source. Vous pouvez contrôler l'ordre dans lequel il est appliqué aux différentes colonnes. Si les valeurs de la première colonne sont identiques, celles de la deuxième sont appliquées. Par exemple, vous pouvez regrouper plusieurs événements provenant de la même source par nom d'utilisateur.

    Ordre de tri

    Contrôle l'ordre dans lequel la valeur sélectionnée est triée. Vous pouvez contrôler l'ordre dans lequel il est appliqué aux différentes colonnes. Si les valeurs de la première colonne sont identiques, celles de la deuxième sont appliquées.

    Décroissant

    Définit les valeurs de colonne à afficher dans l'ordre décroissant (de la plus haute à la plus basse) plutôt que dans l'ordre croissant défini par défaut.

    Non nul

    Détermine si la ligne est affichée au format Table ou Visionneuse d'événements si elle ne contient aucune valeur. Lorsque la case Non nul est sélectionnée, la ligne est supprimée du résultat de la requête si elle ne contient aucune valeur affichable.

    Visible

    Détermine si la colonne est visible au format Table ou Visionneuse d'événements. Vous pouvez utiliser ce paramètre pour rendre les données de la colonne disponibles dans l'affichage en détails, sans l'afficher dans l'affichage lui-même.

    Remarque : Si vous sélectionnez une fonction (excepté TRIM, TOLOWER et TOUPPER) ou le paramètre d'ordre de groupement pour une colonne, vous devez sélectionner le même paramètre pour les autres colonnes. Dans le cas contraire, CA Enterprise Log Manager affiche des messages d'erreur.

  6. Utilisez les flèches haut et bas situées en haut du volet Colonnes sélectionnées pour modifier l'ordre des colonnes selon vos besoins (facultatif).
  7. Cliquez sur la flèche appropriée pour passer à l'étape Conception de la requête que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, la nouvelle requête apparaît dans la Liste de requêtes. Sinon, l'étape Conception de la requête choisie s'affiche.