Informes: Agregados de consulta

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen los escenarios de los agregados de consulta de NWDB. Para usar agregados de consulta se requiere comprender la sintaxis de reglas de NWDB. Para obtener más información, consulte Sintaxis de reglas de NWDB.

Funciones adicionales compatibles

En la siguiente tabla se enumeran las funciones de agregado compatibles.

                                                         
Función de agregadoDescripciónTipos de datos de entradaTipos de datos de salida
countDevuelve el conteo de valores de metadatos, el cual también incluye valores duplicados.NuméricoNumérico
countdistinctDevuelve la cantidad total de valores distintos o únicos.NuméricoNumérico
distinctDevuelve todos los valores únicos.CualquieraCualquiera
firstDevuelve la primera aparición del valor de metadatos.CualquieraIgual que la entrada
lastDevuelve la última aparición del valor de metadatos.CualquieraIgual que la entrada
sumDevuelve una suma de todos los valores no nulos de la clave de metadatos en un grupo.NuméricoNumérico
avg (promedio)Devuelve el valor promedio de todos los valores no nulos de la clave de metadatos dentro de un grupo.NuméricoNumérico
min (mínimo)Devuelve el mínimo de todos los valores de la clave de metadatos en cada grupo. Este valor se basa en el campo Ordenar por.CualquieraCualquiera
max (máximo)Devuelve el máximo de todos los valores de la clave de metadatos en cada grupo. El valor máximo es el valor que devuelve el campo Ordenar por.CualquieraCualquiera
lengthDevuelve la longitud de los valores de la clave de metadatos. A esto se denomina una “función escalar” en SQL.CualquieraNumérico

Ejemplos de consultas y resultados por función

Count

Esta función devuelve la cantidad de valores para una clave de metadatos especificada y excluye los valores nulos, pero incluye los duplicados.

Ejemplo

En la siguiente figura se muestra un ejemplo de consulta de la función count que se usa para la dirección IP de destino y la respectiva dirección IP de origen.

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_test_rule.png

Aquí, para cada ip.src (dirección IP de origen) única, la página devuelve la cantidad total o el conteo de valores ip.dst (dirección IP de destino), el cual también incluye los valores duplicados.

Nota: Si la versión actual de RSA Security Analytics es 10.5 o una más nueva y las versiones de cualquiera de los dispositivos de Security Analytics Core son 10.3 o 10.4, algunas de las funciones de agregado pueden mostrar errores inesperados. Sin embargo, las funciones de agregado como sum() y count() son compatibles con la versión 10.4.

Countdistinct

La función countdistinct devuelve el conteo de valores únicos o distintos para la clave de metadatos. Es decir, la función countdistinct se puede usar para recuperar una cantidad de valores distintos para la clave de metadatos especificada.

En la siguiente figura se muestra un ejemplo de consulta en el cual se usa la función countdistinct junto con la dirección IP de origen (ip.src) y el tamaño de los datos (size).

Ejemplo

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_limit.png

Aquí, la página muestra el tamaño de los datos junto con la cantidad total o el conteo de nombres de archivo distintos desde la respectiva dirección IP de origen. A diferencia de la función count, countdistinct excluye del resultado los valores duplicados.

Distinct

Esta función devuelve todos los valores únicos o distintos de la clave de metadatos.

Ejemplo

En la siguiente figura se muestra un ejemplo de consulta de la función distinct que se usa para recuperar correos electrónicos entre varias direcciones IP de origen y destino (ip.dst).

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_test_rule.png

Aquí, la página muestra la lista de correos electrónicos únicos que se intercambiaron entre las respectivas direcciones IP de origen y destino.

Primero

Esta función se usa para recuperar el primer valor de una secuencia ordenada de valores para una clave de metadatos especificada.

Ejemplo

En la siguiente figura se muestra un ejemplo de consulta de la función first que se usa para recuperar el primer nombre de ciudad de destino.

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_limit.png

Aquí, la página muestra la primera ciudad de destino para las direcciones IP de origen y destino correspondientes. Puede usar la función first para aislar un valor específico de un resultado de búsqueda.

Última

Esta función se usa para recuperar el último valor de una secuencia ordenada de valores para una clave de metadatos especificada.

Ejemplo

En la siguiente figura se muestra un ejemplo de consulta de la función last que se usa para recuperar el nombre de usuario más reciente.

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_test_rule.png

Aquí, la página muestra la lista completa de nombres de usuario más recientes o últimos que se intercambiaron entre las direcciones IP de origen y destino.

Suma

Esta función devuelve el total de los valores no nulos de la clave de metadatos dentro de un grupo.

Ejemplo

En la siguiente figura se muestra una consulta de la función Sum que se usa para paquetes.

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_test_rule.png

Aquí, la página muestra el total o la suma de los paquetes, junto con el tamaño de los datos para el respectivo país de destino.

Prom.

La función average devuelve el promedio de valores no nulos de los metadatos dentro de un grupo.

Ejemplo

En la siguiente figura se muestra un ejemplo de consulta del tamaño promedio de datos transmitidos entre una dirección IP de origen y de destino.

Min_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_test_rule.png

Aquí, la página muestra el tamaño promedio de los datos intercambiados entre una dirección IP de origen y de destino:

Max y Min

Las funciones Max y Min proporcionan el máximo y el mínimo de determinados valores de metadatos, respectivamente.

En la siguiente figura se muestra un ejemplo de consulta de las funciones max y min para diversos tamaños de datos para una dirección IP de origen y un país de destino.

Ejemplo

Max_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Min_test_rule.png

Aquí, la página muestra las columnas max(size) y min(size), junto con la lista de direcciones IP de origen y de países de destino. La columna max(size) enumera los tamaños máximos de datos que se intercambiaron, mientras que la columna min(size), los tamaños mínimos de datos que se intercambiaron.

Filtrar resultados de metadatos agregados con Max_threshold

Puede filtrar los resultados de cualquier función mediante el uso de la acción de la regla de umbral.

Ejemplo
El siguiente es un ejemplo de consulta de max_threshold que se usa junto con la función Max en el campo Then:
max_threshold(5000,max(size))

En la siguiente figura se muestra la pantalla Crear regla para la consulta anterior.

Max_threshold.png

Aquí, max_threshold se aplica al tamaño de datos con un límite superior de 5,000. En la siguiente figura se muestra el resultado.

Min_limit.png

Aquí, la página de resultados muestra la columna max(size) que enumera los tamaños de datos menores de 5,000, ya que este es el umbral máximo en la consulta, junto con la dirección IP de origen correspondiente y el respectivo directorio.

Filtrar resultados de metadatos agregados con Min_threshold

De manera similar, min_threshold se usa para filtrar los resultados de cualquier función. Para explicar esto, se considera un escenario similar al de max_threshold.

Ejemplo
La consulta de min_threshold que se usa junto con la función Max en el campo Then es:
min_threshold(5000,max(size))

En la siguiente figura se muestra la pantalla Crear regla para la consulta anterior.

Max_threshold.png

Aquí, min_threshold se aplica al tamaño de datos con un límite inferior de 5,000. En la siguiente figura se muestra el resultado.

Min_test_rule.png

Aquí, la página de resultados muestra la columna max(size) que enumera los tamaños de datos mayores de 5,000, ya que este es el umbral mínimo en la consulta, junto con la dirección IP de origen correspondiente y el respectivo directorio.

Nota: las acciones de las reglas Max_threshold y Min_threshold son comunes a todas las funciones y se pueden usar junto con otras consultas en el campo Then para recuperar la respectiva salida.

Longitud

Esta función devuelve la longitud de un valor de metadatos. Es decir, la función Length devuelve la cantidad de bytes que se usan para almacenar el valor real.
Por ejemplo, para el valor “Analítica” se devuelve la longitud 9. De manera similar, para una ip.src IPv4 se devuelve 4 (que representa 4 bytes).

Ejemplo

En la siguiente figura se muestra un ejemplo de consulta de la función length que se usa para nombres de usuario.

Max_threshold.png

En la siguiente figura se muestra el resultado de la consulta anterior.

Max_limit.png

Aquí, la página muestra la longitud de los nombres de usuario asociados a la cuenta de usuario y su respectiva dirección IP de origen.

Información adicional

Cuando consulta agregados (por ejemplo, sum(size)) con Group By en metadatos que tienen múltiples valores en una sesión, la sesión con múltiples valores se considera en el cálculo de agregados para cada valor de esos metadatos.

Ejemplo

Cuando consulta la función de agregado Count con Group By en Alias.host, si la columna tiene múltiples valores en una sesión, la sesión se cuenta para cada aparición, incluidos los valores duplicados.

Considere la siguiente tabla.

                           
SessionIDAlias.hostIp.srcTamaño
1host-a, host-b, host-aa10
2host-b, host-c, host-a, host-cc20
3host-b, host-c, host-db30
4host-c, host-aa40

En la tabla anterior, alias.host para host-a y host-c tiene valores duplicados para una única sesión. Consideremos la siguiente consulta:

Select : alias.host, count(ip.src), sum(size)
Group By : alias.host

Aquí, host-a y host-c están presentes en tres sesiones y son duplicados de dos sesiones distintas. Sin embargo, la salida es la que se muestra a continuación.

                      
Alias.hostcount(Ip.src)Sum(size)
host-a480
host-b360
host-c4110
host-d130

La tabla de salida muestra que el conteo de host-a y host-c es 4. Esto se debe a que, para cada valor de alias.host, se considera la sesión completa. De manera similar, para calcular sum (size), las mismas sesiones se consideran para cada valor de alias.host.

Previous Topic:Vista Crear regla
You are here
Table of Contents > Referencias del módulo Reporting > Referencias de reglas > Agregados de consulta

Attachments

    Outcomes