Reporting : Agrégats de requête

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode

Cette rubrique décrit les fonctions d’agrégation prises en charge.

Fonctions d'agrégation prises en charge

Le tableau suivant présente les fonctions d'agrégation prises en charge.

                                                         
Fonction d'agrégationDescriptionTypes de données d'entréeTypes de données de résultat
countRenvoie le nombre de métavaleurs, y compris les valeurs dupliquées.NumériqueNumérique
countdistinctRenvoie le nombre total de valeurs Distinct ou uniques.NumériqueNumérique
distinctRenvoie toutes les valeurs uniques.N'importe laquelleN'importe laquelle
firstRenvoie la première occurrence de la valeur méta.N'importe laquelleIdentique à l'entrée
lastRenvoie la dernière occurrence de la valeur méta.N'importe laquelleIdentique à l'entrée
sumRenvoie la somme de toutes les valeurs non nulles des clés méta dans un groupe.NumériqueNumérique
avg (Average)Renvoie la valeur moyenne de toutes les valeurs non nulles des clés méta au sein d'un groupe.NumériqueNumérique
min (Minimum)Renvoie le minimum de toutes les valeurs des clés méta de chaque groupe. Cette valeur se base sur le champ « order by ».N'importe laquelleN'importe laquelle
max (Maximum)Renvoie le maximum de toutes les valeurs des clés méta de chaque groupe. La valeur maximale est la valeur retournée par le champ « order by ».N'importe laquelleN'importe laquelle
lengthRenvoie la longueur des valeurs de la clé méta. Elle est appelée « fonction scalaire » dans SQL.N'importe laquelleNumérique

Exemples de requêtes et de résultats par fonction

Count

Cette fonction renvoie le nombre de valeurs pour une clé méta spécifiée. Elle exclut les valeurs nulles mais comprend les valeurs dupliquées.

Exemple

La figure suivante montre un exemple de requête pour la fonction « count » utilisée pour l'IP de destination et son IP source respective.

Exemple de requête pour la fonction count utilisée pour l'IP de destination et son IP source respective

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de la fonction count utilisée pour l'IP de destination et son IP source respective

Ici, pour chaque ip.src (IP source) unique, la page renvoie le nombre total de valeurs ip.dst (IP de destination), y compris les valeurs dupliquées.

Remarque : Si votre version de RSA NetWitness Suite est actuellement la version 10.5 ou supérieure et que l'un des périphériques NetWitness Suite Core utilise la version 10.3 ou 10.4, il se peut que certaines des fonctions d'agrégation affichent des erreurs inattendues. Cependant, les fonctions d'agrégation comme sum() et count() sont prises en charge dans la version 10.4.

countdistinct

La fonction countdistinct renvoie le nombre de valeurs uniques ou Distinct pour la clé méta. En d'autres mots, la fonction countdistinct peut être utilisée pour récupérer un certain nombre de valeurs Distinct pour la clé méta spécifiée.

La figure suivante montre un exemple de requête où la fonction countdistinct est utilisée avec la source IP (ip.src) et la taille des données (size).

Exemple

Exemple de requête où la fonction countdistinct est utilisée avec la source IP (ip.src) et la taille des données (size)

La figure suivante indique le résultat de la requête ci-dessus.
Résultat de requête où la fonction countdistinct est utilisée avec la source IP (ip.src) et la taille des données (size).

Ici, la page affiche la taille des données ainsi que le nombre total de noms de fichiers Distinct à partir de leurs sources IP respectives. À la différence de la fonction count, la fonction countdistinct exclut du résultat les valeurs dupliquées.

Distinct

Cette fonction renvoie toutes les valeurs uniques ou Distinct de la clé méta.

Exemple 

La figure suivante montre un exemple de requête pour la fonction Distinct utilisée pour récupérer les e-mails entre différentes IP source et IP de destination (ip.dst).

Exemple de requête pour la fonction distinct utilisée pour récupérer les e-mails entre différentes IP source et IP de destination (ip.dst).

La figure suivante indique le résultat de la requête ci-dessus.

Ici, la page affiche la liste d'e-mails uniques qui ont été échangés entre les IP source et les IP de destination respectives.

Début

Cette fonction est utilisée pour récupérer la première valeur à partir d'une séquence ordonnée de valeurs pour une clé méta spécifiée.

Exemple 

La figure suivante affiche un exemple de requête pour la première fonction utilisée pour récupérer le premier nom de ville de destination.

Exemple de requête pour la première fonction utilisée pour récupérer le premier nom de ville de destination

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de requête pour la première fonction utilisée pour récupérer le premier nom de ville de destination

Ici, la page affiche la première ville de destination pour l'IP source et l'IP de destination correspondante. Vous pouvez utiliser la première fonction pour isoler une valeur particulière d'un résultat de la recherche.

Dernier

Cette fonction est utilisée pour récupérer la dernière valeur d'une séquence classée de valeurs pour une clé méta spécifique.

Exemple 

La figure suivante montre un exemple de requête pour la dernière fonction utilisée pour récupérer le nom d'utilisateur le plus récent.

Exemple de requête pour la dernière fonction utilisée pour récupérer le nom d'utilisateur le plus récent

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de requête pour la dernière fonction utilisée pour récupérer le nom d'utilisateur le plus récent

Ici, la page affiche la liste des noms d'utilisateurs les plus ou moins récents en entier, qui ont été échangés entre l'IP source et l'IP de destination.

Somme

Cette fonction renvoie le total de valeurs non nulles de la clé méta au sein d'un groupe.

Exemple 

La figure suivante montre la requête pour la fonction Sum utilisée pour les paquets.

Requête pour la fonction Sum utilisée pour les paquets

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de requête pour la fonction Sum utilisée pour les paquets

Ici la page affiche le total ou la somme des paquets ainsi que la taille des données pour leur pays de destination respectif.

Moy

La fonction moyenne renvoie la moyenne des valeurs non nulles des méta au sein d'un groupe.

Exemple

La figure suivante montre un exemple de requête pour une taille de données moyenne transmise entre l'IP source et l'IP de destination.

Exemple de requête pour une taille de données moyenne transmise entre l'IP source et l'IP de destination

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de requête pour une taille de données moyenne transmise entre l'IP source et l'IP de destination

Ici, la page affiche la taille moyenne de données échangées entre l'IP source et l'IP de destination :

Max et Min

Les fonctions Max et Min donnent le maximum et le minimum pour les valeurs données d'une méta, respectivement.

La figure suivante montre un exemple de requête pour les fonctions max et min de différentes tailles de données, pour l'IP source et le pays de destination.

Exemple

Exemple de requête pour les fonctions max et min de différentes tailles de données, pour l'IP source et le pays de destination

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de requête pour les fonctions max et min de différentes tailles de données, pour l'IP source et le pays de destination

Ici, la page affiche les colonnes max(size) et min(size), ainsi que la liste des IP source et des pays de destination. La colonne max(size) répertorie les tailles de données maximum alors que la colonne min(size) répertorie les tailles de données minimum qui ont été échangées.

Filtrer les résultats des méta-agrégats avec Max_threshold

Vous pouvez filtrer encore davantage les résultats d'une fonction en utilisant l'action de règle de seuil.

Exemple
Voici un exemple de requête pour max_threshold utilisé avec la fonction Max dans le champ Then :
max_threshold(5000,max(size))

La figure suivante présente l’écran Élaborer une règle pour la requête ci-dessus.

Exemple de requête pour max_threshold utilisé avec la fonction Max dans le champ Then : max_threshold(5000,max(size))

Ici, max_threshold s'applique à la taille des données avec une limite supérieure de 5 000. La figure suivante indique le résultat.

Résultat de requête pour max_threshold utilisé avec la fonction Max dans le champ Then : max_threshold(5000,max(size))

Ici, la page de résultat affiche la colonne max(size), qui répertorie les tailles de données inférieures à 5 000, c'est-à-dire le seuil maximum dans la requête, ainsi que les sources IP correspondantes et leur répertoire respectif.

Filtrer les résultats des méta-agrégats avecMin_threshold

De la même façon, min_threshold est utilisé pour filtrer les résultats de n'importe quelle fonction. Un scénario similaire à max_threshold est utilisé pour expliquer cela.

Exemple
Requête pour min_threshold utilisé avec la fonction Max dans le champThen :
min_threshold(5000,max(size))

La figure suivante montre l’écran Élaborer une règle pour la requête ci-dessus.

 Requête pour min_threshold utilisé avec la fonction Max dans le champ Then : min_threshold(5000,max(size))

Ici, min_threshold s'applique à la taille des données avec une limite inférieure de 5 000. La figure suivante indique le résultat.

Résultat de requête pour min_threshold utilisé avec la fonction Max dans le champ Then : min_threshold(5000,max(size))

Ici, la page de résultat affiche la colonne max(size), qui répertorie les tailles de données supérieures à 5 000, c'est-à-dire le seuil minimum dans la requête, ainsi que les sources IP correspondantes et leur répertoire respectif.

Remarque : Les actions de règles Max_threshold et Min_threshold sont communes à toutes les fonctions et peuvent être utilisées avec d'autres requêtes dans le champ Then pour récupérer leur résultat respectif.

Longueur

Cette fonction renvoie la longueur d'une métavaleur. En d'autres mots, la fonction Length renvoie le nombre d'octets utilisés pour stocker la valeur elle-même.
Par exemple, pour la valeur « Analytics », la longueur renvoyée est 9. De la même façon, pour IPv4 ip.src, la valeur renvoyée est 4 (ce qui représente 4 octets).

Exemple 

La figure suivante montre un exemple de requête pour la fonction Length utilisée pour les noms d'utilisateur.

Exemple de requête pour la fonction length utilisée pour les noms d’utilisateur

La figure suivante indique le résultat de la requête ci-dessus.

Résultat de requête pour la fonction length utilisée pour les noms d’utilisateur

Ici, la page affiche la longueur des noms d'utilisateurs associés au compte utilisateur et leur IP source respective.

Informations complémentaires

Lorsque vous envoyez une requête sur des agrégats (par exemple, sum(size)) avec Group By sur une méta qui dispose de plusieurs valeurs dans une session, la session avec plusieurs valeurs est prise en compte dans le calcul d'agrégation pour chaque valeur de cette méta.

Exemple

Lorsque vous envoyez une requête pour la fonction d'agrégation Count avec Group By sur Alias.host, et si la colonne présente plusieurs valeurs dans une session, alors la session est comptée pour chaque occurrence, y compris les valeurs dupliquées.

Examinez le tableau suivant.

                           
SessionIDAlias.hostIp.srcTaille
1host-a, host-b, host-aa10
2host-b, host-c, host-a, host-cc20
3host-b, host-c, host-db30
4host-c, host-aa40 

Dans le tableau suivant, alias.host pour host-a et host-c présentent des valeurs dupliquées pour une session unique. Considérons la requête suivante :

Sélectionnez : alias.host, count(ip.src), sum(size)
Grouper par : alias.host

Ici, host-a et host-c apparaissent dans 3 sessions et ils sont dupliqués dans deux sessions différentes. Toutefois, le résultat est le suivant.

                      
Alias.hostcount(Ip.src)Sum (size)
host-a480
host-b360
host-c4110
host-d130

Le tableau de résultat montre que le nombre de host-a et host-c est 4. C'est parce que pour chaque valeur alias.host, l'intégralité de la session est prise en compte. De la même façon, pour calculer sum (size), les mêmes sessions sont prises en compte pour chaque valeur alias.host.

Dans le résultat du rapport si le nombre de lignes atteint le Nbre maximal de lignes agrégées NWDB défini dans la configuration RE, alors un message Limite maximale de lignes agrégées atteinte s’affiche pour indiquer qu’il existe plus d’informations à afficher. La limite par défaut est 1 000 et vous pouvez modifier cette valeur selon vos besoins, dans la page Configuration de Reporting Engine.

Message Limite maximale de lignes agrégées atteinte

You are here
Table of Contents > Annexe > Agrégats de requête

Attachments

    Outcomes