Guida all'amministrazioneQuery e rapportiCome creare una query › Aggiunta di dettagli sulla query

Argomento precedente: Apertura della procedura guidata Progettazione query

Argomento successivo: Impostazione dei filtri della query

Aggiunta di dettagli sulla query

Il primo passaggio della creazione di una query consiste nell'immissione delle informazioni di identificazione e nell'impostazione degli eventuali tag da includere.

Per aggiungere una nuova query

  1. Aprire la procedura guidata Progettazione query.
  2. Digitare un nome per la query (obbligatorio) e un nome breve (facoltativo) da utilizzare nei rapporti. Il nome breve viene visualizzato nel riquadro delle query dello specifico rapporto quando la query viene inclusa in un rapporto.
  3. Selezionare il database al quale si desidera applicare la query:
    Evento

    Applica la query al database eventi, che archivia tutte le informazioni evento non elaborate e perfezionate ricevute dal server corrente, o disponibili mediante la federazione.

    Incidente

    Applica la query al database incidenti, che archivia gli incidenti creati dal sistema di correlazione eventi e le informazioni evento utilizzate per creare gli incidenti. Gli specifici componenti di un evento che vengono utilizzati per creare un incidente, e pertanto archiviati nel database incidenti, vengono impostati dalla regola di correlazione.

  4. Digitare le eventuali note di progettazione nel campo Descrizione.

    Nota: è consigliabile utilizzare questo campo per informazioni relative alla struttura della query. È ad esempio possibile inserire una spiegazione del motivo per cui la query contiene determinati campi e funzioni.

  5. Selezionare uno o più tag cui si vuole associare la query utilizzando il Controllo pilota tag.
  6. (Facoltativo) Per aggiungere un tag di categoria personalizzato, inserire un nome tag nel campo di immissione Aggiungi tag personalizzato e fare clic sul pulsante Aggiungi tag.

    Nel Controllo pilota tag viene visualizzato il tag personalizzato, già selezionato.

  7. (Facoltativo) Per aggiungere uno o più tag personalizzati nidificati, selezionare un tag o digitare il nome del tag di categoria padre, seguito da una barra rovesciata, seguita a sua volta dal nome del tag figlio, quindi fare clic su Aggiungi tag. Ad esempio, è possibile digitare: "Normative\Standard del settore". È possibile aggiungere ulteriori tag, mantenendo il formato a\b\c e così via.

    Nota: se si elimina uno dei tag nidificati personalizzati, verranno eliminati anche tutti i tag personalizzati in cui è nidificato, compreso il tag padre. Se si nidifica un tag personalizzato all'interno di un tag di sottoscrizione e quindi lo si elimina, verranno eliminati solo i tag personalizzati.

    Una volta completato il processo, il nuovo tag viene visualizzato nell'elenco, con i tag personalizzati nidificati visibili quando si espande il tag padre.

  8. Fare clic sulla freccia appropriata per andare al passaggio di progettazione della query che si desidera completare successivamente, oppure fare clic su Salva e chiudi.

    Se si fa clic su Salva e chiudi, la nuova query viene visualizzata nell'Elenco query; altrimenti, verrà visualizzato il passaggio selezionato della procedura guidata.

Ulteriori informazioni:

Attività relative ai tag

Aggiunta di colonne di query

Per creare una query, scrivere un'istruzione SQL in grado di ottenere dall'archivio registro eventi le informazioni di evento desiderate. La procedura guidata di progettazione delle query consente di automatizzare questo procedimento.

Per creare un'istruzione SQL per le query

  1. Aprire la procedura guidata Progettazione query.
  2. Inserire il nome ed il tag, se non ancora specificati, e procedere al passaggio Colonne query.
  3. (Facoltativo) Selezionare la casella di controllo Solo eventi unici.
  4. Impostare le colonne CEG da includere nella query trascinandole dall'elenco delle colonne disponibili sulla sinistra fino al campo Colonne del riquadro Colonne selezionate. Verranno visualizzate nella visualizzazione di query, nell'ordine in cui sono state immesse.
  5. (Facoltativo) Selezionare le impostazioni desiderate per ciascuna colonna, tra cui:
    Visualizza nome

    Consente di inserire un nome diverso per la colonna, una volta visualizzata in formato Tabella o Visualizzatore eventi. Se non viene immesso alcun nome, come nome di colonna verrà utilizzato il nome del campo nativo, ad esempio "event_count".

    Funzione

    Consente di applicare una delle seguenti funzioni SQL ai valori della colonna:

    • COUNT: restituisce il numero totale di eventi.
    • AVG: restituisce la media dei valori event_count. La funzione è disponibile soltanto per i campi event_count.
    • SUM: restituisce la somma dei valori event_count. La funzione è disponibile soltanto per i campi event_count.
    • TRIM: rimuove tutti gli spazi nella stringa di testo relativa alla query.
    • TOLOWER: converte in minuscolo la stringa di testo della query.
    • TOUPPER: converte in maiuscolo la stringa di testo della query.
    • MIN: restituisce il valore degli eventi più basso.
    • MAX: restituisce il valore degli eventi più elevato.
    • UNIQUECOUNT: restituisce il numero di eventi univoci.
    Ordinamento gruppi

    Consente di impostare la visualizzazione di query in modo da mostrare le colonne selezionate raggruppate in base all'attributo selezionato. Ad esempio, è possibile impostare la query in modo da raggruppare gli eventi in base al nome origine. È possibile controllare l'ordine in cui viene applicato alle varie colonne. Se i valori della prima colonna sono identici, verranno applicati i secondi. Ad esempio, è possibile raggruppare più eventi dalla stessa origine in base al nome utente.

    Ordinamento

    Consente di controllare l'ordine dei valori selezionati. È possibile controllare l'ordine in cui viene applicato alle varie colonne. Se i valori della prima colonna sono identici, verranno applicati i secondi.

    Decrescente

    Consente di impostare i valori delle colonne in modo da visualizzarli in ordine decrescente (dal valore più elevato a quello più basso) anziché nell'ordine crescente predefinito.

    Non è Null

    Controlla se la riga viene visualizzata in una tabella o nel Visualizzatore eventi se non contiene alcun valore. La selezione della casella di controllo Non è Null rimuove la riga dal risultato della query in caso essa non contenga valori visualizzabili.

    Visibile

    Controlla se la colonna è visualizzata in una tabella o nel formato Visualizzatore eventi. È possibile utilizzare questa impostazione per rendere disponibili i dati delle colonne nella vista dei dettagli senza mostrarli nella visualizzazione stessa.

    Nota: quando si seleziona una funzione SQL, eccetto TRIM, TOLOWER, TOUPPER o un'impostazione di ordine di gruppo per una colonna, è necessario selezionare la stessa impostazione anche per le altre colonne. In caso contrario, CA Enterprise Log Manager visualizzerá un messaggio di errore.

  6. (Facoltativo) Utilizzare le frecce rivolte verso l'alto e verso il basso nella parte superiore del riquadro Colonne selezionate per modificare l'ordine delle colonne secondo necessità.
  7. Fare clic sulla freccia appropriata per andare al passaggio della procedura guidata che si desidera completare successivamente, oppure fare clic su Salva e chiudi.

    Se si fa clic su Salva e chiudi, la nuova query viene visualizzata nell'Elenco query; altrimenti, verrà visualizzato il passaggio selezionato della procedura guidata.