ダッシュボードについて
QRadarに貯めたイベントログやフローに対して検索した結果をグラフで表示ができる
https://www.ibm.com/docs/ja/qradar-on-cloud?topic=siem-dashboard-management
デフォルトダッシュボード
WebUIの[Dashboard]をクリックする。ダッシュボードの表示:プルダウンから[System Monitoring]をクリックすると以下のような画面が表示される。
その他のダッシュボードとして以下のようなものがある。
カスタムダッシュボード
サーチ条件の作成
WebUIの[Log Activity] ->[Search...]をクリックする。
[Edit Search]をクリックする。
遷移した画面の[Time Range]にて[Recent]の下プルダウンにて[Last 5 Minutes]を選ぶ
画面中程の[Column Definition]にて[Group By]に[Event Name]を入れる
更にしたにスクロールして、[Search Parameters]にて[Log Source [Indexed]]を選ぶ。
[Log Source Filter]にて任意の文字列を入れて対象のログソースを見つけて[Add Filter]をクリックする。
以下のような画面に変わる。
画面一番右下の[Search]ボタンをクリックする。
検索画面結果が表示されるので、[Save]ボタンをクリックする。
[Save Criteria]と書かれた小さいウィンドウが立ち上がるので、[Search Name]に任意の文字列を入力、[include in my Dashboard]に☑を入れて[OK]ボタンをクリックする。
[OK]ボタンをクリックする。
ダッシュボード作成
[Dashboard]をクリックする。
[New dashboard]をクリックする。
[Name]に任意の文字列を入れて、[OK]ボタンをクリックする。
[Add item...]->[Log Activity] ->[Event Searches]->[作成したSave Search]を選ぶ。
黄色マークをクリックする。
Value to Graph:[Log Source(Unique Count]を選ぶ、Capture Time Series Dataに☑を入れ、[Save]ボタンをクリックする。
[OK]ボタンをクリックする。
[Dashboard]をもう一度クリックして画面をリフレッシュする。以下のようにグラフが生成される。
Report
[Reports]をクリックする。
[Action]->[Create]をクリックする。
[Next]をクリックする。
[Weekly]を選び、[Next]をクリックする。
いくつ区切りのレポートにするかを決める。ここでは1つの左上を選び[Next]をクリックする。
Report Title:[任意の文字列]を入力、Chart Type:[Events/Logs]を選ぶ。
[Save Container Details]をクリックする。
[Next]をクリックする。
[Next]をクリックする。
[Next]をクリックする。
[Next]をクリックする。
[Finish]をクリックする。
Generating(生成中)と表示されるので数分待つ
