Informes: Usar variables para creación de informes con parámetros

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se suministra información sobre el uso de variables para crear informes en el módulo Reporting de RSA Security Analytics. La creación de informes con parámetros permite especificar valores dinámicamente en el tiempo de ejecución sin cambiar la definición de la regla, de modo que pueda ver los resultados de acuerdo con un valor particular. Puede lograr la creación de informes con parámetros si usa variables en la consulta o la regla. Para obtener información sobre la adición de una regla, consulte Definir una regla. En la hora de ejecución, puede ingresar el valor de la variable o seleccionarlo en la lista de acuerdo con el conjunto de resultados que se muestra.

La sintaxis para especificar la variable es la siguiente:

               
DescripciónEjemplos de sintaxis compatible

Inserte $ antes de una variable.

Encierre una variable en llaves.

columnname=${<variable>}

La sintaxis para definir la variable es la misma para orígenes de datos de la base de datos NetWitness, IPBD y la base de datos de Warehouse. Cuando asigna el valor de la variable en una configuración de ejecución, debe ingresar el valor entre comillas simples: '<value>'.

En esa sección se proporcionan algunos ejemplos donde se puede usar una variable.

Ver las direcciones IP de origen para un país de destino específico

El siguiente es un ejemplo de regla de la base de datos NetWitness para ver las direcciones IP de origen y destino de un país de destino específico. Aquí, el país de origen se define como una variable ${local_Country}.

104_Dynamicvar_Netwitness.png

En el tiempo de ejecución, se le solicitará ingresar el valor para la variable. En la figura siguiente se muestra la variable local_Country, donde puede ingresar el valor. Si ingresa el valor como Estados Unidos, se enumeran todas las direcciones IP de origen y destino con Estados Unidos como país de destino.

102DynamicVariableNWDBResults.png

Puede usar la regla anterior para programar un informe. Para obtener más información, consulte Programar un informe. Puede programar dos tipos de informes:

  • Informe con variables dinámicas
  • Informe iterativo

Informe con variables dinámicas

Las variables dinámicas permiten que el usuario especifique los valores de una variable definida en una regla durante la programación de un informe.

Para programar un informe con una variable dinámica:

  1. En el menú de Security Analytics, haga clic en Administration > Informes.

    Se muestra la pestaña Administrar.

  2. Haga clic en Informes.

    Se muestra la vista Informe.

  3. En la página Crear informe, haga clic en para crear un informe.
  4. Agregue la regla que tiene la variable definida por el usuario desde la pestaña Reglas.
  5. Haga clic en Schedule.

    Se muestra la pestaña de la vista Calendarizar informe.

  6. Para ejecutar los informes según el calendario, seleccione la casilla de verificación Habilitar.
  7. En el campo Nombre de calendario, escriba un nombre para la configuración del informe del calendario.
  8. En el campo Origen de datos, seleccione un origen de datos.

    Nota: si el origen de datos no se muestra, asegúrese de tener permisos de lectura configurados para el origen de datos. Esto se aplica a los orígenes de datos NWDB y Warehouse. Para obtener más información, consulte Configurar permisos de orígenes de datos en la Guía de configuración de Reporting Engine.

  9. (Opcional) En el menú desplegable Pool de recursos de Warehouse, seleccione los pools o las líneas de espera disponibles en el clúster para programar el informe de modo que se ejecute en el pool o en la línea de espera. Este menú desplegable está disponible solo si selecciona un informe de base de datos de Warehouse.

    Nota: Se enumeran todas las colas o los pools que ha especificado en la página Explorar para Reporting Engine. Si no se configuran pools o líneas de espera en la página Explorador, este menú desplegable se inhabilita y los trabajos se presentan a los clústeres sin ningún nombre de línea de espera o pool.

    Nota: Si el pool o la línea de espera configurados en el calendario de informes se retira del clúster, en el Programador de capacidad, el nombre de la línea de espera permanece sin definir. Sin embargo, en el programador justo, el nombre del pool especificado se creará mediante la propiedad mapred.fairscheduler.allow.undeclared.pool.

  10. En el menú desplegable Zona horaria, seleccione una zona horaria para mostrar todos los datos relacionados con tiempo en una salida de informe en el formato especificado. Este ajuste se puede configurar en la vista Explorar de Reporting Engine (/com.rsa.soc.re/configuration/reportoutputformatterconfig/reportoutputformatterconfig).
  11. En el campo Ejecutar, seleccione el tipo de calendario de ejecución. (Por ejemplo, Ahora o Cada una hora). Según el tipo de calendario de ejecución, realice una de las siguientes acciones:

    • Si selecciona un calendario de ejecución Después o Mensual, debe proporcionar un valor para el día y la hora en el campo respectivo que se proporciona.

    • Si selecciona un calendario de ejecución Por hora, debe especificar los minutos en el campo En el minuto.

    • Si selecciona un programa que se ejecute Diariamente, debe ingresar un valor de hora en el campo A las.

    • Si selecciona un calendario de ejecución Semanal, debe ingresar un valor en el campo A las y, además, seleccionar los días de la semana.

    Nota: Durante la programación de un informe, si selecciona la opción Pasado, la opción Rango (específico/genérico) o un rango de horas de finalización muy cercano a la hora actual, debe asegurarse de que se devuelvan los datos agregados en el origen de datos. Si hay una demora en la agregación en el origen de datos, esta se debe considerar en la hora de finalización que se selecciona o, de lo contrario, los informes pierden datos no agregados para ese rango de tiempo.

  12. En el campo Variables, haga clic en .
  13. Realice una de las siguientes acciones

    • Ingrese el valor para la variable, o
    • Elija el valor de la lista para la variable.

  14. Haga clic en Seleccionar.
  15. Haga clic en Schedule.

    El informe programado se ejecuta según lo programado y proporciona las salidas configuradas.

El informe programado se ejecuta según lo programado y proporciona las salidas configuradas.

Ver todas las direcciones IP de destino para una dirección IP de origen

A continuación se incluye un ejemplo de regla de Warehouse para ver todas las direcciones IP de destino para un origen IP específico. La dirección IP de origen ip_src se define como una variable ${IP_Address}.

104_Dynamicvar_WarehouseDB.png

En el tiempo de ejecución, se le solicita ingresar la dirección IP de origen. En la siguiente figura se muestra la variable IP_Address y es posible ingresar una dirección IP de origen válida. Se enumeran todas las direcciones IP de destino con la IP de origen especificada.

102DynamicVariableSAWResults.png

Asociar una variable a una lista de valores

Puede asociar la variable a una lista. Por ejemplo, puede crear una lista denominada Local_Country e ingresar todos los nombres de países como valores. Puede seleccionar la lista Local_Country como el valor para la variable Local_Country. En Configuración de ejecución, la lista Local_Country se completa y se puede seleccionar el país en función del cual se mostrarán los resultados.

102DynamicVariableNWDBResultsList.png

Regla de IPDB para ver los detalles de un dispositivo de acuerdo con el nombre del dispositivo

A continuación, se incluye un ejemplo de regla de IPDB para ver los detalles de un dispositivo de acuerdo con el nombre del dispositivo. En la especificación del origen de eventos, se especifica el nombre del dispositivo como una variable ${Device_Name}.

104_Dynamicvar_IPDB.png

En la hora de ejecución, se le solicita ingresar el nombre del dispositivo Device_Name. En la siguiente figura se muestra la variable Device_Name y puede ingresar la especificación de origen de eventos, por ejemplo, NIC:ESIPDB:ESIPDB-ES:ciscopix:111.111.111.25. Se muestran todos los detalles de los dispositivos.

102DynamicVariableIPDBResults.png

Informe iterativo

Un informe iterativo genera un informe para cada valor de la lista.

Para programar un informe iterativo:

  1. En el menú de Security Analytics, haga clic en Administration > Informes.

    Se muestra la pestaña Administrar.

  2. Haga clic en Informes.

    Se muestra la vista Informe.

  3. En la página Crear informe, haga clic en para crear un informe.
  4. Agregue la regla que tiene la variable definida por el usuario desde la pestaña Reglas.
  5. Haga clic en Schedule.

    Se muestra la pestaña de la vista Calendarizar informe.

  6. Para ejecutar los informes según el calendario, seleccione la casilla de verificación Habilitar.
  7. En el campo Nombre de calendario, escriba un nombre para la configuración del informe del calendario.
  8. En el campo Origen de datos, seleccione un origen de datos.

    Nota: si el origen de datos no se muestra, asegúrese de tener permisos de lectura configurados para el origen de datos. Esto se aplica a los orígenes de datos NWDB y Warehouse. Para obtener más información, consulte Configurar permisos de orígenes de datos en la Guía de configuración de Reporting Engine.

  9. (Opcional) En el menú desplegable Pool de recursos de Warehouse, seleccione los pools o las líneas de espera disponibles en el clúster para programar el informe de modo que se ejecute en el pool o en la línea de espera. Este menú desplegable está disponible solo si selecciona un informe de base de datos de Warehouse.

    Nota: Se enumeran todas las colas o los pools que ha especificado en la página Explorar para Reporting Engine. Si no se configuran pools o líneas de espera en la página Explorador, este menú desplegable se inhabilita y los trabajos se presentan a los clústeres sin ningún nombre de línea de espera o pool.

    Nota: Si el pool o la línea de espera configurados en el calendario de informes se retira del clúster, en el Programador de capacidad, el nombre de la línea de espera permanece sin definir. Sin embargo, en el programador justo, el nombre del pool especificado se creará mediante la propiedad mapred.fairscheduler.allow.undeclared.pool.

  10. En el menú desplegable Zona horaria, seleccione una zona horaria para mostrar todos los datos relacionados con tiempo en una salida de informe en el formato especificado. Este ajuste se puede configurar en la vista Explorar de Reporting Engine (/com.rsa.soc.re/configuration/reportoutputformatterconfig/reportoutputformatterconfig).
  11. En el campo Ejecutar, seleccione el tipo de calendario de ejecución. (Por ejemplo, Ahora o Cada una hora). Según el tipo de calendario de ejecución, realice una de las siguientes acciones:

    • Si selecciona un calendario de ejecución Después o Mensual, debe proporcionar un valor para el día y la hora en el campo respectivo que se proporciona.

    • Si selecciona un calendario de ejecución Por hora, debe especificar los minutos en el campo En el minuto.

    • Si selecciona un programa que se ejecute Diariamente, debe ingresar un valor de hora en el campo A las.

    • Si selecciona un calendario de ejecución Semanal, debe ingresar un valor en el campo A las y, además, seleccionar los días de la semana.

    Nota: Durante la programación de un informe, si selecciona la opción Pasado, la opción Rango (específico/genérico) o un rango de horas de finalización muy cercano a la hora actual, debe asegurarse de que se devuelvan los datos agregados en el origen de datos. Si hay una demora en la agregación en el origen de datos, esta se debe considerar en la hora de finalización que se selecciona o, de lo contrario, los informes pierden datos no agregados para ese rango de tiempo.

  12. En el campo Variables, realice lo siguiente:

    1. Para ejecutar informes iterativos, seleccione la casilla de verificación Informe iterativo.

    2. Para el valor Iterar en lista, haga clic en .

      Se abre la ventana Selección de lista.

    3. Seleccione una lista y haga clic en Seleccionar.

      El elemento de lista seleccionado se agrega al campo Iterar en lista.

    4. Seleccione la variable en la cual se debe aplicar el valor de lista seleccionado.

  13. Haga clic en Schedule.

    El informe programado se ejecuta según lo programado y proporciona las salidas configuradas.

En la siguiente figura se muestra la vista Informe iterativo.

You are here
Table of Contents > Trabajar con informes en el módulo Informes > Usar variables para creación de informes con parámetros

Attachments

    Outcomes