Reporting : Agrégats de requête

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les scénarios pour les agrégats de requête NWDB. Pour utiliser les aggrégats de requête, il est nécessaire de comprendre la syntaxe de règle pour NWDB. Pour plus d'informations, voir le Syntaxe des règles NWDB.

Fonctions d'agrégation prises en charge

Le tableau suivant présente les fonctions d'agrégation prises en charge.

                                                         
Fonction d'agrégationDescription :Types de données d'entréeTypes de données de sortie
countRenvoie le nombre de métavaleurs, y compris les valeurs dupliquées.NumériqueNumérique
countdistinctRenvoie le nombre total de valeurs Distinct ou uniques.NumériqueNumérique
distinctRenvoie toutes les valeurs uniques.N'importe laquelleN'importe laquelle
firstRenvoie la première occurrence de la valeur méta.N'importe laquelleIdentique à l'entrée
lastRenvoie la dernière occurrence de la valeur méta.N'importe laquelleIdentique à l'entrée
sumRenvoie la somme de toutes les valeurs non nulles des clés méta dans un groupe.NumériqueNumérique
avg (Average)Renvoie la valeur moyenne de toutes les valeurs non nulles des clés méta au sein d'un groupe.NumériqueNumérique
min (Minimum)Renvoie le minimum de toutes les valeurs des clés méta de chaque groupe. Cette valeur se base sur le champ « order by ».N'importe laquelleN'importe laquelle
max (Maximum)Renvoie le maximum de toutes les valeurs des clés méta de chaque groupe. La valeur maximale est la valeur retournée par le champ « order by ».N'importe laquelleN'importe laquelle
lengthRenvoie la longueur des valeurs de la clé méta. Elle est appelée « fonction scalaire » dans SQL.N'importe laquelleNumérique

Exemples de requêtes et de résultats par fonction

Count

Cette fonction renvoie le nombre de valeurs pour une clé méta spécifiée. Elle exclut les valeurs nulles mais comprend les valeurs dupliquées.

Exemple

La figure suivante montre un exemple de requête pour la fonction « count » utilisée pour l'IP de destination et son IP source respective.

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_test_rule.png

Ici, pour chaque ip.src (IP source) unique, la page renvoie le nombre total de valeurs ip.dst (IP de destination), y compris les valeurs dupliquées.

Remarque : Si votre version de RSA Security Analytics est actuellement la version 10.5 ou des versions supérieures et que l'un des périphériques de base Security Analytics utilise la version 10.3 ou 10.4, il se peut que certaines des fonctions d'agrégation affichent des erreurs inattendues. Cependant, les fonctions d'agrégation comme sum() et count() sont prises en charge dans la version 10.4.

countdistinct

La fonction countdistinct renvoie le nombre de valeurs uniques ou Distinct pour la clé méta. En d'autres mots, la fonction countdistinct peut être utilisée pour récupérer un certain nombre de valeurs Distinct pour la clé méta spécifiée.

La figure suivante montre un exemple de requête où la fonction countdistinct est utilisée avec la source IP (ip.src) et la taille des données (size).

Exemple 

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_limit.png

Ici, la page affiche la taille des données ainsi que le nombre total de noms de fichiers Distinct à partir de leurs sources IP respectives. À la différence de la fonction count, la fonction countdistinct exclut du résultat les valeurs dupliquées.

Distinct

Cette fonction renvoie toutes les valeurs uniques ou Distinct de la clé méta.

Exemple 

La figure suivante montre un exemple de requête pour la fonction Distinct utilisée pour récupérer les e-mails entre différentes IP source et IP de destination (ip.dst).

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_test_rule.png

Ici, la page affiche la liste d'e-mails uniques qui ont été échangés entre les IP source et les IP de destination respectives.

Début

Cette fonction est utilisée pour récupérer la première valeur à partir d'une séquence ordonnée de valeurs pour une clé méta spécifiée.

Exemple 

La figure suivante affiche un exemple de requête pour la première fonction utilisée pour récupérer le premier nom de ville de destination.

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_limit.png

Ici, la page affiche la première ville de destination pour l'IP source et l'IP de destination correspondante. Vous pouvez utiliser la première fonction pour isoler une valeur particulière d'un résultat de la recherche.

Dernier

Cette fonction est utilisée pour récupérer la dernière valeur d'une séquence classée de valeurs pour une clé méta spécifique.

Exemple 

La figure suivante montre un exemple de requête pour la dernière fonction utilisée pour récupérer le nom d'utilisateur le plus récent.

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_test_rule.png

Ici, la page affiche la liste des noms d'utilisateurs les plus ou moins récents en entier, qui ont été échangés entre l'IP source et l'IP de destination.

Somme

Cette fonction renvoie le total de valeurs non nulles de la clé méta au sein d'un groupe.

Exemple 

La figure suivante montre la requête pour la fonction Sum utilisée pour les paquets.

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_test_rule.png

Ici la page affiche le total ou la somme des paquets ainsi que la taille des données pour leur pays de destination respectif.

Moy

La fonction moyenne renvoie la moyenne des valeurs non nulles des méta au sein d'un groupe.

Exemple

La figure suivante montre un exemple de requête pour une taille de données moyenne transmise entre l'IP source et l'IP de destination.

Min_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_test_rule.png

Ici, la page affiche la taille moyenne de données échangées entre l'IP source et l'IP de destination :

Max et Min

Les fonctions Max et Min donnent le maximum et le minimum pour les valeurs données d'une méta, respectivement.

La figure suivante montre un exemple de requête pour les fonctions max et min de différentes tailles de données, pour l'IP source et le pays de destination.

Exemple 

Max_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Min_test_rule.png

Ici, la page affiche les colonnes max(size) et min(size), ainsi que la liste des IP source et des pays de destination. La colonne max(size) répertorie les tailles de données maximum alors que la colonne min(size) répertorie les tailles de données minimum qui ont été échangées.

Filtrer les résultats des méta-agrégats avec Max_threshold

Vous pouvez filtrer encore davantage les résultats d'une fonction en utilisant l'action de règle de seuil.

Exemple
Voici un exemple de requête pour max_threshold, utilisé avec la fonction Max dans le champ Then :
max_threshold(5000,max(size))

La figure suivante affiche l'écran Élaborer une règle pour la requête ci-dessus.

Max_threshold.png

Ici, max_threshold s'applique à la taille des données avec une limite supérieure de 5 000. La figure suivante indique le résultat.

Min_limit.png

Ici, la page de résultat affiche la colonne max(size), qui répertorie les tailles de données inférieures à 5 000, c'est-à-dire le seuil maximum dans la requête, ainsi que les sources IP correspondantes et leur répertoire respectif.

Filtrer les résultats des méta-agrégats avecMin_threshold

De la même façon, min_threshold est utilisé pour filtrer les résultats de n'importe quelle fonction. Un scénario similaire à max_threshold est utilisé pour expliquer cela.

Exemple 
Voici un exemple de requête pour min_threshold, utilisé avec la fonction Max dans le champ Then :
min_threshold(5000,max(Size))

La figure suivante affiche l'écran Élaborer une règle pour la requête ci-dessus.

Max_threshold.png

Ici, min_threshold s'applique à la taille des données avec une limite inférieure de 5 000. La figure suivante indique le résultat.

Min_test_rule.png

Ici, la page de résultat affiche la colonne max(size), qui répertorie les tailles de données supérieures à 5 000, c'est-à-dire le seuil minimum dans la requête, ainsi que les sources IP correspondantes et leur répertoire respectif.

Remarque : Les actions de règles Max_threshold et Min_threshold sont communes à toutes les fonctions et peuvent être utilisées avec d'autres requêtes dans le champ Then pour récupérer leur sortie respective.

Longueur

Cette fonction renvoie la longueur d'une métavaleur. En d'autres mots, la fonction Length renvoie le nombre d'octets utilisés pour stocker la valeur elle-même.
Par exemple, pour la valeur « Analytics », la longueur renvoyée est 9. De la même façon, pour IPv4 ip.src, la valeur renvoyée est 4 (ce qui représente 4 octets).

Exemple 

La figure suivante montre un exemple de requête pour la fonction Length utilisée pour les noms d'utilisateur.

Max_threshold.png

La figure suivante indique le résultat de la requête ci-dessus.

Max_limit.png

Ici, la page affiche la longueur des noms d'utilisateurs associés au compte utilisateur et leur IP source respective.

Informations complémentaires

Lorsque vous envoyez une requête sur des agrégats (par exemple, sum(size)) avec Group By sur une méta qui dispose de plusieurs valeurs dans une session, la session avec plusieurs valeurs est prise en compte dans le calcul d'agrégation pour chaque valeur de cette méta.

Exemple 

Lorsque vous envoyez une requête pour la fonction d'agrégation Count avec Group By sur Alias.host, et si la colonne présente plusieurs valeurs dans une session, alors la session est comptée pour chaque occurrence, y compris les valeurs dupliquées.

Examinez le tableau suivant.

                           
SessionIDAlias.hostIp.srcTaille
1host-a, host-b, host-aa10
2host-b, host-c, host-a, host-cc20
3host-b, host-c, host-db30
4host-c, host-aa40

Dans le tableau suivant, alias.host pour host-a et host-c présentent des valeurs dupliquées pour une session unique. Considérons la requête suivante :

Sélectionnez : alias.Host, count(ip.src), sum(size)
Regrouper par : alias.host

Ici, host-a et host-c apparaissent dans 3 sessions et ils sont dupliqués dans deux sessions différentes. Toutefois, la sortie est la suivante.

                      
Alias.hostcount(Ip.src)Sum (size)
host-a480
host-b360
host-c4110
host-d130

Le tableau de sortie montre que le nombre de host-a et host-c est 4. C'est parce que pour chaque valeur alias.host, l'intégralité de la session est prise en compte. De la même façon, pour calculer sum (size), les mêmes sessions sont prises en compte pour chaque valeur alias.host.

You are here
Table of Contents > Références du module Reporting > Références aux règles > Agrégats de requête

Attachments

    Outcomes