Reporting : Utiliser des variables pour les rapports paramétrés

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des informations sur l'utilisation des variables pour le reporting dans le module RSA Security Analytics Reporting. Les rapports paramétrés vous permettent de spécifier des valeurs de manière dynamique lors de l'exécution sans modifier la définition des règles afin d'afficher les résultats en fonction d'une valeur particulière. Vous pouvez obtenir des rapports paramétrés en utilisant des variables dans la requête ou la règle. Pour plus d'informations sur l'ajout d'une règle, reportez-vous à la section Définir une règle. Lors de l'exécution, vous pouvez saisir la valeur de la variable ou sélectionner la valeur dans la liste en fonction de laquelle l'ensemble des résultats est affiché.

La syntaxe permettant de spécifier la variable est la suivante :

               
Description :Exemples de syntaxe prise en charge

Insérez $ avant une variable.

Placez une variable entre parenthèses.

columnname=${<variable>}

La syntaxe permettant de définir la variable est la même pour les sources de bases de données NetWitness, IPDB et Warehouse. Lorsque vous attribuez la valeur de la variable dans une configuration d'exécution, vous devez placer la valeur entre des guillemets simples : '<value>'.

Certains exemples d'utilisation de variables peuvent être fournis dans cette section.

Afficher les adresses IP source pour un pays de destination spécifique

Voici un exemple de règle de base de données NetWitness permettant d'afficher les adresses IP source et de destination pour un pays de destination spécifique. Ici la valeur du pays source est définie en tant que variable ${local_Country}.

104_Dynamicvar_Netwitness.png

Au moment de l'exécution, vous êtes invité(e) à saisir la valeur de la variable. La figure ci-dessous affiche la variable local_Country où vous pouvez saisir la valeur. Si vous saisissez la valeur United states, toutes les adresses IP source et de destination avec le pays de destination United states s'affichent.

102DynamicVariableNWDBResults.png

Vous pouvez utiliser la règle ci-dessus pour planifier un rapport. Pour plus d’informations, voir le Planifier un rapport. Vous pouvez planifier deux types de rapports :

  • Rapport avec des variables dynamiques
  • Rapport itératif

Rapport avec des variables dynamiques

Les variables dynamiques permettent à l'utilisateur de spécifier les valeurs d'une variable définie dans une règle lors de la planification d'un rapport.

Pour planifier un rapport avec une variable dynamique :

  1. Dans le menu Security Analytics, cliquez sur Administration > Rapports.

    L'onglet Gérer s'affiche.

  2. Cliquez sur Rapports.

    La vue Rapport s'affiche.

  3. Sur la page Élaborer le rapport, cliquez sur pour créer un rapport.
  4. Ajoutez la règle ayant la variable définie par l'utilisateur à partir de l'onglet Règles.
  5. Cliquez sur Schedule.

    L'onglet de la vue Planifier un rapport s'affiche.

  6. Pour exécuter les rapports selon le planning, cochez la case Activer.
  7. Dans le champ Nom de planning, saisissez le nom de la configuration du rapport pour le planning.
  8. Dans le champ Source de données, sélectionnez la source de données.

    Remarque : Si la source de données n'est pas affichée, vérifiez que vous disposez des autorisations Lecture définies pour la source de données. Cela s'applique aux sources de données NWDB et Warehouse. Pour plus d'informations, reportez-vous à la section Configurer les autorisations d'accès aux sources de données dans le Guide de configuration de Reporting Engine.

  9. (Facultatif) Dans le menu déroulant Pool de ressource Warehouse, sélectionnez les pools ou les files d'attentes disponibles dans le cluster afin de planifier le rapport à exécuter sur le pool ou la file d'attente. Ce menu déroulant n'est disponible que si vous avez sélectionné un rapport de base de données Warehouse.

    Remarque : Tous les pools ou files d'attente que vous avez spécifiés à la page Explorer du Reporting Engine sont répertoriés. Si aucun pool ou file d'attente n'est configuré à la page Explorer, ce menu déroulant est désactivé et les tâches sont envoyées aux clusters sans aucun nom de file d'attente ou de pool.

    Remarque : Si la file d'attente ou le pool configuré dans le planning du rapport est supprimé du cluster, alors le nom de la file d'attente dans le Planificateur de capacité reste inchangé. Toutefois, dans le planificateur, le nom de pool spécifié sera créé à l'aide du paramètre de propriété mapred.fairscheduler.allow.undeclared.pool.

  10. Dans le menu déroulant Fuseau horaire, sélectionnez un fuseau horaire pour afficher toutes les données liées au temps dans une sortie de rapport au format spécifié. Ce paramètre est configurable dans la vue Explorer du Reporting Engine (/com.rsa.soc.re/configuration/reportoutputformatterconfig/reportoutputformatterconfig).
  11. Dans le champ Exécuter , sélectionnez le type de planification d'exécution. (Par exemple, Maintenant ou Toutes les heures). En fonction du type de planning d'exécution, effectuez l'une des opérations suivantes :

    • Si vous sélectionnez le planning d'exécution Ultérieurement ou Tous les mois, vous devez proposer une valeur pour le jour et l'heure dans le champ respectif.

    • Si vous sélectionnez un planning d'exécution Toutes les heures, vous devez spécifier les minutes dans le champ À la minute.

    • Si vous sélectionnez le planning d'exécution Tous les jours, vous devez saisir une valeur de temps dans le champ À.

    • Si vous sélectionnez le planning d'exécution Toutes les semaines, vous devez saisir une valeur dans le champ À et sélectionner les jours de la semaine.

    Remarque : Lorsque vous planifiez un rapport, si vous sélectionnez l'option Coller ou Plage (spécifique/générique) ou une heure de fin très proche de l'heure actuelle, vous devez vous assurer que les données agrégées dans la source de données sont retournées. S'il existe un délai d'agrégation dans la source de données, l'heure de fin que vous choisissez doit tenir compte de ce délai, sinon les rapports perdront des données non agrégées pour cette période.

  12. Dans le champ des variables, cliquez sur .
  13. Exécutez l'une des opérations suivantes :

    • Saisissez la valeur de la variable, ou
    • Choisissez la valeur de liste pour la variable.

  14. Cliquez sur Sélectionner.
  15. Cliquez sur Schedule.

    Le rapport planifié s'exécute comme prévu et fournit les sorties configurées.

Le rapport planifié s'exécute comme prévu et fournit les sorties configurées.

Afficher toutes les adresses IP de destination pour une adresse IP source

Voici un exemple de règle Warehouse permettant d'afficher toutes les adresses IP de destination pour une adresse IP source spécifique. L'adresse IP source ip_src est définie en tant que variable ${IP_Address}.

104_Dynamicvar_WarehouseDB.png

Au moment de l'exécution, vous êtes invité(e) à saisir l'adresse IP source. La figure affiche la variable IP_Address qui vous permet de saisir une adresse IP source valide. Toutes les adresses IP de destination avec l'adresse IP source spécifiée sont répertoriées.

102DynamicVariableSAWResults.png

Associer une variable à une liste de valeurs

Vous pouvez associer la variable à une liste. Par exemple, vous pouvez créer une liste nommée Local_Country, puis saisir tous les noms des pays en tant que valeurs. Vous pouvez sélectionner la liste Local_Country en tant que valeur de la variable Local_Country. Lors de la configuration de l'exécution, la liste Local_Country est renseignée et vous pouvez sélectionner le pays en fonction des résultats affichés.

102DynamicVariableNWDBResultsList.png

Règle IPDB permettant d'afficher les détails relatifs aux périphériques en fonction de leur nom

Voici un exemple de règle IPDB permettant d'afficher les détails d'un périphérique en fonction du nom du périphérique. Dans la spécification de la source d'événement, le nom du périphérique est spécifié en tant que variable ${Device_Name}.

104_Dynamicvar_IPDB.png

Au moment de l'exécution, vous êtes invité(e) à saisir le nom du périphérique Device_Name. La figure affiche la variable Device_Name qui permet de saisir la spécification de la source d'événement, par exemple, NIC:ESIPDB:ESIPDB-ES:ciscopix:111.111.111.25. Tous les détails relatifs au périphérique s'affichent.

102DynamicVariableIPDBResults.png

Rapport itératif

Un rapport itératif génère un rapport pour chaque valeur dans la liste.

Pour planifier un rapport itératif :

  1. Dans le menu Security Analytics, cliquez sur Administration > Rapports.

    L'onglet Gérer s'affiche.

  2. Cliquez sur Rapports.

    La vue Rapport s'affiche.

  3. Sur la page Élaborer le rapport, cliquez sur pour créer un rapport.
  4. Ajoutez la règle ayant la variable définie par l'utilisateur à partir de l'onglet Règles.
  5. Cliquez sur Schedule.

    L'onglet de la vue Planifier un rapport s'affiche.

  6. Pour exécuter les rapports selon le planning, cochez la case Activer.
  7. Dans le champ Nom de planning, saisissez le nom de la configuration du rapport pour le planning.
  8. Dans le champ Source de données, sélectionnez la source de données.

    Remarque : Si la source de données n'est pas affichée, vérifiez que vous disposez des autorisations Lecture définies pour la source de données. Cela est applicable pour les sources de données NWDB et Warehouse. Pour plus d'informations, reportez-vous à la section Configurer les autorisations d'accès aux sources de données dans le Guide de configuration de Reporting Engine.

  9. (Facultatif) Dans le menu déroulant Pool de ressource Warehouse, sélectionnez les pools ou les files d'attentes disponibles dans le cluster afin de planifier le rapport à exécuter sur le pool ou la file d'attente. Ce menu déroulant n'est disponible que si vous avez sélectionné un rapport de base de données Warehouse.

    Remarque : Tous les pools ou files d'attente que vous avez spécifiés à la page Explorer du Reporting Engine sont répertoriés. Si aucun pool ou file d'attente n'est configuré à la page Explorer, ce menu déroulant est désactivé et les tâches sont envoyées aux clusters sans aucun nom de file d'attente ou de pool.

    Remarque : Si la file d'attente ou le pool configuré dans le planning du rapport est supprimé du cluster, alors le nom de la file d'attente dans le Planificateur de capacité reste inchangé. Toutefois, dans le planificateur, le nom de pool spécifié sera créé à l'aide du paramètre de propriété mapred.fairscheduler.allow.undeclared.pool.

  10. Dans le menu déroulant Fuseau horaire, sélectionnez un fuseau horaire pour afficher toutes les données liées au temps dans une sortie de rapport au format spécifié. Ce paramètre est configurable dans la vue Explorer du Reporting Engine (/com.rsa.soc.re/configuration/reportoutputformatterconfig/reportoutputformatterconfig).
  11. Dans le champ Exécuter , sélectionnez le type de planification d'exécution. (Par exemple, Maintenant ou Toutes les heures). En fonction du type de planning d'exécution, effectuez l'une des opérations suivantes :

    • Si vous sélectionnez le planning d'exécution Ultérieurement ou Tous les mois, vous devez proposer une valeur pour le jour et l'heure dans le champ respectif.

    • Si vous sélectionnez un planning d'exécution Toutes les heures, vous devez spécifier les minutes dans le champ À la minute.

    • Si vous sélectionnez le planning d'exécution Tous les jours, vous devez saisir une valeur de temps dans le champ À.

    • Si vous sélectionnez le planning d'exécution Toutes les semaines, vous devez saisir une valeur dans le champ À et sélectionner les jours de la semaine.

    Remarque : Lorsque vous planifiez un rapport, si vous sélectionnez l'option Coller ou Plage (spécifique/générique) ou une heure de fin très proche de l'heure actuelle, vous devez vous assurer que les données agrégées dans la source de données sont retournées. S'il existe un délai d'agrégation dans la source de données, l'heure de fin que vous choisissez doit tenir compte de ce délai, sinon les rapports perdront des données non agrégées pour cette période.

  12. Dans le champ des variables, effectuez les opérations suivantes :

    1. Pour exécuter des rapports itératifs, cochez la case Rapport itératif.

    2. Pour effectuer une itération en fonction de la valeur de liste, cliquez sur .

      La fenêtre de sélection de liste s'ouvre.

    3. Choisissez un élément de liste, puis cliquez sur Sélectionner.

      L'élément de liste sélectionné est ajouté au champ Itérer sur la liste.

    4. Sélectionnez la variable sur laquelle la valeur de liste sélectionnée doit être appliquée.

  13. Cliquez sur Schedule.

    Le rapport planifié s'exécute comme prévu et fournit les sorties configurées.

La figure ci-dessous illustre la vue Rapport itératif.

You are here
Table of Contents > Utilisation des rapports dans le module Reporting > Utiliser des variables pour les rapports paramétrés

Attachments

    Outcomes