管理ガイドクエリおよびレポートクエリの作成方法 › クエリの詳細の追加

前のトピック: クエリの設計ウィザードの表示

次のトピック: クエリ フィルタの設定

クエリの詳細の追加

クエリを作成する最初の手順は、識別情報の入力と組み込むタグの設定です。

新しいクエリを追加する方法

  1. クエリの設計ウィザードを開きます。
  2. 必須であるクエリ名、およびオプションとして、レポートで使用されるショート ネームを入力します。 ショート ネームは、クエリがレポートに含まれている場合にレポートの個別のクエリ ペインに表示されます。
  3. クエリを適用するデータベースを選択します。
    イベント

    イベント データベースにクエリを適用します。このデータベースには、現在のサーバが受信した、または連携によって使用可能なすべての元のイベント情報および精製されたイベント情報が格納されます。

    インシデント

    インシデント データベースにクエリを適用します。このデータベースには、イベント相関システムによって作成されたインシデント、およびそれらのインシデントを作成するために使用されたイベント情報がが格納されます。 インシデントを作成するために使用され、インシデント データベースに格納されるイベントの特定のコンポーネントは、相関ルールによって設定されます。

  4. [説明]エントリ フィールドに、必要な設計メモを入力します。

    注: クエリ構造に関する情報用に、このフィールドを使用することをお勧めします。 たとえば、特定のフィールドや機能がクエリに含まれる理由を入力します。

  5. [タグ]シャトル コントロールを使用してクエリに関連付けるタグを 1 つ以上選択します。
  6. (オプション)カスタム カテゴリ タグを追加するには、[カスタム タグの追加]エントリ フィールドにタグ名を入力し、[タグの追加]ボタンをクリックします。

    カスタム タグが、選択済みの状態で[タグ]シャトル コントロールに表示されます。

  7. (オプション)ネストされた 1 つ以上のカスタム タグを 追加するには、タグを選択するか、または親カテゴリのタグ名、円記号、子タグの名前の順に入力して、[タグの追加]をクリックします。 たとえば、「Regulations\Industry Standards」のように入力します。 この形式を保持しながら、さらにタグを追加できます(a\b\c など)。

    注: ネストされたカスタム タグの 1 つを削除すると、ネスト先のすべてのカスタム タグ(親タグを含む)も削除されます。 カスタム タグをサブスクリプション タグの内部にネストし、その後削除した場合は、カスタム タグのみが削除されます。

    プロセスを完了すると、リストに新しいタグが表示されます。親タグを展開するとネストされたカスタム タグが表示されます。

  8. 適切な矢印をクリックして次に実行する「クエリの設計」の手順に進むか、[保存して閉じる]をクリックします。

    [保存して閉じる]をクリックすると、新規クエリが[クエリ リスト]に表示されます。それ以外の場合は、選択したクエリの設計手順が表示されます。

詳細情報:

タグ タスク

クエリ列の追加

クエリを作成するには、イベント ログ ストアから必要なイベント情報を取得する SQL 文を作成します。 クエリの設計ウィザードを使用すると、このプロセスが自動化されます。

クエリの SQL 文の作成方法

  1. クエリの設計ウィザードを開きます。
  2. まだ指定していない場合は名前とタグを入力してから、[クエリ列]の手順に進みます。
  3. (オプション)[一意のイベントのみ]チェック ボックスをオンにします。
  4. 左側にある[使用可能な列]のリストから、[選択済みの列]ペイン内の[列]フィールドにドラッグすることによって、クエリを実行する CEG 列を設定します。 CEG 列は、入力された順序でクエリ表示に表示されます。
  5. (オプション)各列に以下を含めた設定を選択します。
    表示名

    表形式やイベント ビューア形式の表示用に、列の別名を入力できます。 表示名を入力しなかった場合、「event_count」などの元のフィールド名が列名として使用されます。

    関数

    以下の SQL 関数のいずれかを列の値に指定できます。

    • COUNT - イベントの合計数を返します。
    • AVG - event_count 値の平均を返します。 この関数は event_count フィールドに対してのみ使用できます。
    • SUM - event_count 値の合計を返します。 この関数は event_count フィールドに対してのみ使用できます。
    • TRIM - クエリを実行するテキスト文字列内のスペースを削除します。
    • TOLOWER - クエリを実行するテキスト文字列を小文字に変換します。
    • TOUPPER - クエリを実行するテキスト文字列を大文字に変換します。
    • MIN - イベントの最低値を返します。
    • MAX - イベントの最高値を返します。
    • UNIQUECOUNT - 一意のイベント数を返します。
    グループの順序

    クエリ表示を設定して選択属性によってグループ化された選択列を表示します。 たとえば、ソース名でイベントをグループ化するようにクエリを設定することができます。 さまざまな列に適用されている順序を制御することができます。 最初の列の値が同一である場合は、2 番目が指定されます。 たとえば、同じソースからの複数のイベントを username によってグループ化できます。

    並び順

    選択値の並び順を制御します。 さまざまな列に適用されている順序を制御することができます。 最初の列の値が同一である場合は、2 番目が指定されます。

    降順

    デフォルトの昇順ではなく、列の値を降順(最高値から最低値へ)に表示されるように設定します。

    NULL でない

    行に値が含まれていない場合に、表やイベント ビューアに行を表示するかどうかを制御します。 [NULL でない]チェック ボックスをオンにすると、行に表示可能な値が含まれていない場合はクエリ結果から行が削除されます。

    表示

    表形式やイベント ビューア形式において、列を表示するかどうかを制御します。 この設定を使用すると、表示自体に表示させずに、列データを詳細ビューで使用できるようにすることができます。

    : 1 つの列に対して TRIM、TOLOWER、TOUPPER 以外の関数、またはグループの順序設定を選択した場合、他の列にも同じ設定を選択する必要があります。 そうしないと、CA Enterprise Log Manager でエラー メッセージが表示されます。

  6. (オプション)[選択列]ペインの上部にある上矢印と下矢印を使用して必要に応じて列の順序を変更します。
  7. 矢印をクリックして次に完了するクエリの設計の手順に進むか、[保存して閉じる]をクリックします。

    [保存して閉じる]をクリックすると、新規クエリが[クエリ リスト]に表示されます。それ以外の場合は、選択したクエリの設計手順が表示されます。