Reporting: Abfrageaggregate

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

In diesem Abschnitt werden die unterstützten Aggregatfunktionen erläutert.

Unterstützte Aggregatfunktionen

In der folgenden Tabelle sind die unterstützten Aggregatfunktionen aufgelistet.

                                                         
AggregatfunktionBeschreibungEingabedatentypenAusgabedatentypen
countGibt die Anzahl der Metawerte zurück, dazu gehören auch doppelte Werte.NumerischNumerisch
countdistinctGibt die Gesamtanzahl unterschiedlicher oder einzigartiger Werte zurück.NumerischNumerisch
distinctGibt alle einzigartigen Werte zurück.AlleAlle
firstGibt das erste Auftreten des Metawerts zurück.AlleGleich wie Eingabe
lastGibt das letzte Auftreten des Metawerts zurück.AlleGleich wie Eingabe
sumGibt eine Summe aller Werte ungleich Null des Metaschlüssels in einer Gruppe zurück.NumerischNumerisch
avg (Durchschnitt)Gibt den Durchschnittswert aller Werte ungleich Null des Metaschlüssels innerhalb einer Gruppe zurück.NumerischNumerisch
min (Minimum)Gibt den Mindestwert für alle Werte des Metaschlüssels in jeder Gruppe zurück. Dieser Wert basiert auf dem Feld Sortieren nach.AlleAlle
max (Maximum)Gibt den Höchstwert für alle Werte des Metaschlüssels in jeder Gruppe zurück. Der Höchstwert ist der Wert, der basierend auf dem Feld Sortieren nach zurückgegeben wird.AlleAlle
lengthGibt die Länge der Werte des Metaschlüssels zurück. Dies wird in SQL „skalare Funktion“ genannt.AlleNumerisch

Beispiele für Abfragen und Ergebnisse pro Funktion

Count

Diese Funktion gibt die Anzahl der Werte für einen bestimmten Metaschlüssel zurück, wobei Nullwerte ausgeschlossen, Duplikatwerte aber eingeschlossen sind.

Beispiel

Die folgende Abbildung zeigt eine Musterabfrage für die Funktion „count“, die für die Ziel-IP und die entsprechende Quell-IP verwendet wird.

Musterabfrage für die Funktion „count“, die für die Ziel-IP und die entsprechende Quell-IP verwendet wird

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis der Funktion „count“, die für die Ziel-IP und die entsprechende Quell-IP verwendet wird

Hier gibt die Seite für jede eindeutige ip.src (Quell-IP) die Gesamtanzahl der ip.dst (Ziel-IP)-Werte zurück, wobei auch die Duplikatwerte mit eingeschlossen sind.

Hinweis: Wenn Sie RSA NetWitness Suite aktuell in der Version 10.5 oder neuer verwenden und eines Ihrer NetWitness Suite Core-Geräte noch in der Version 10.3 oder 10.4 vorliegt, können einige der Aggregatfunktionen eventuell unerwartete Fehler anzeigen. Allerdings werden Aggregatfunktionen wie sum() und count() in Version 10.4 unterstützt.

Countdistinct

Die Funktion countdistinct gibt die Anzahl eindeutiger oder unterschiedlicher Werte für den Metaschlüssel zurück. Mit anderen Worten, mithilfe der Funktion countdistinct kann eine Anzahl unterschiedlicher Werte für den angegebenen Metaschlüssel abgerufen werden.

Die folgende Abbildung zeigt eine Musterabfrage, in der die Funktion countdistinct zusammen mit IP-Quelle (ip.src) und Datengröße (size) verwendet wird.

Beispiel

Musterabfrage, in der die Funktion „countdistinct“ zusammen mit IP-Quelle (ip.src) und Datengröße (size) verwendet wird.

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.
Ergebnis einer Abfrage, bei der die Funktion „countdistinct“ zusammen mit IP-Quelle (ip.src) und Datengröße (size) verwendet wird

Hier zeigt die Seite die Datengröße zusammen mit der Gesamtanzahl unterschiedlicher Dateinamen von der entsprechenden IP-Quelle an. Anders als die Funktion count schließt countdistinct die Duplikatwerte aus dem Ergebnis aus.

Distinct

Diese Funktion gibt alle eindeutigen oder unterschiedlichen Werte des Metaschlüssels zurück.

Beispiel

Die folgende Abbildung zeigt eine Musterabfrage für die Funktion distinct zum Abrufen von E-Mails zwischen verschiedenen Quell- und Ziel-IPs (ip.dst).

Musterabfrage für die Funktion „distinct“ zum Abrufen von E-Mails zwischen verschiedenen Quell- und Ziel-IPs (ip.dst)

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Hier zeigt die Seite die Liste eindeutiger E-Mails an, die zwischen den entsprechenden Quell- und Ziel-IPs ausgetauscht wurden.

First

Diese Funktion wird verwendet, um den ersten Wert aus einer sortierten Folge von Werten für einen angegebenen Metaschlüssel abzurufen.

Beispiel

Die folgende Abbildung zeigt eine Musterabfrage für die Funktion first, die verwendet wird, um den Namen der ersten Zielstadt abzurufen.

Musterabfrage für die Funktion „first“, die verwendet wird, um den Namen der ersten Zielstadt abzurufen

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis einer Abfrage für die Funktion „first“, die verwendet wird, um den Namen der ersten Zielstadt abzurufen

Hier zeigt die Seite die erste Zielstadt für die entsprechende Quell- und Ziel-IP an. Sie können die first-Funktion verwenden, um einen bestimmten Wert aus einem Suchergebnis zu isolieren.

Letzter

Diese Funktion wird verwendet, um den letzten Wert aus einer sortierten Folge von Werten für einen angegebenen Metaschlüssel abzurufen.

Beispiel

Die folgende Abbildung zeigt eine Musterabfrage für die Funktion last, die verwendet wird, um den Namen des neuesten Benutzers abzurufen.

Musterabfrage für die Funktion „last“, die verwendet wird, um den Namen des neuesten Benutzers abzurufen

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis einer Abfrage für die Funktion „last“, die verwendet wird, um den Namen des neuesten Benutzers abzurufen

Hier zeigt die Seite die Liste der neuesten oder letzten Benutzernamen vollständig an, die zwischen Quell- und Ziel-IP ausgetauscht wurden.

Summe

Diese Funktion gibt die Gesamtzahl der Werte ungleich Null des Metaschlüssels innerhalb einer Gruppe zurück.

Beispiel

Die folgende Abbildung zeigt die Abfrage für die Funktion Sum, die für Pakete verwendet wird.

Abfrage für die Funktion „Sum“, die für Pakete verwendet wird

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis einer Abfrage für die Funktion „Sum“, die für Pakete verwendet wird

Hier zeigt die Seite die Gesamtanzahl oder Summe der Pakete zusammen mit der Größe der Daten für das entsprechende Zielland an.

Avg

Die average-Funktion gibt die durchschnittliche Anzahl der Werte ungleich Null des Metaschlüssels innerhalb einer Gruppe zurück.

Beispiel

Die folgende Abbildung zeigt eine Musterabfrage für die durchschnittliche Datengröße an, die zwischen einer Quell- und einer Ziel-IP übertragen wurde.

Musterabfrage für die durchschnittliche Datengröße, die zwischen einer Quell- und einer Ziel-IP übertragen wurde

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis einer Abfrage für die durchschnittliche Datengröße, die zwischen einer Quell- und einer Ziel-IP übertragen wurde

Hier zeigt die Seite die durchschnittliche Größe der zwischen Quell- und Ziel-IP ausgetauschten Daten an:

Max und Min

Die Funktionen Max und Min geben das Maximum bzw. das Minimum für gegebene Werte eines Metaschlüssels zurück.

Die folgende Abbildung zeigt eine Musterabfrage für die Funktionen max und min für verschiedene Datengrößen, für Quell-IP und Zielland.

Beispiel

Musterabfrage für die Funktionen „max“ und „min“ für verschiedene Datengrößen, für Quell-IP und Zielland

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis einer Abfrage für die Funktionen „max“ und „min“ für verschiedene Datengrößen, für Quell-IP und Zielland

Hier zeigt die Seite die Spalten max(size) und min(size) an, zusammen mit der Liste von Quell-IP und Zielland. Die Spalte max(size) listet die maximalen ausgetauschten Datengrößen und die Spalte min(size) die minimalen ausgetauschten Datengrößen auflistet.

Filtern aggregierter Metaergebnisse mit „max_threshold“

Sie können die Ergebnisse jeder Funktion mithilfe der Schwellenwertregelaktion weiter filtern.

Beispiel
Es folgt eine Musterabfrage für „max_threshold“ zusammen mit der Max-Funktion im Feld Dann:
max_threshold(5000,max(size))

Die folgende Abbildung zeigt den Bildschirm „Regel erstellen“ für die obige Abfrage.

Musterabfrage für „max_threshold“ zusammen mit der Funktion „Max“ im Feld „Dann“: max_threshold(5000,max(size))

Hier wird der Schwellenwert max_threshold für Datengrößen mit einem oberen Grenzwert von 5000 angewandt. Die folgende Abbildung zeigt das Ergebnis.

Ergebnis einer Abfrage für „max_threshold“ zusammen mit der Funktion „Max“ im Feld „Dann“: max_threshold(5000,max(size))

Hier zeigt die Ergebnisseite die Spalte max(size) an, in der die Datengrößen kleiner als 5000 angezeigt werden, da dies der obere Grenzwert in der Abfrage ist, zusammen mit der entsprechenden IP-Quelle und dem entsprechenden Verzeichnis.

Filtern aggregierter Metaergebnisse mitMin_threshold

Auf ähnliche Weise werden mithilfe von min_threshold die Ergebnisse für jede beliebige Funktion gefiltert. Betrachten wir ein ähnliches Szenario wie für max_threshold, um dies zu erklären.

Beispiel
Abfrage für „min_threshold“ zusammen mit der Max-Funktion im Feld Dann:
max_threshold(5000,max(size))

Die folgende Abbildung zeigt den Bildschirm „Regel erstellen“ für die obige Abfrage.

 Abfrage für „min_threshold“ zusammen mit der Funktion „Max“ im Feld „Dann“: min_threshold(5000,max(size))

Hier wird der Schwellenwert min_threshold für Datengrößen mit einem unteren Grenzwert von 5000 angewandt. Die folgende Abbildung zeigt das Ergebnis.

Ergebnis einer Abfrage für „min_threshold“ zusammen mit der Funktion „Max“ im Feld „Dann“: min_threshold(5000,max(size))

Hier zeigt die Ergebnisseite die Spalte max(size) an, in der die Datengrößen größer als 5000 angezeigt werden, da dies der untere Grenzwert in der Abfrage ist, zusammen mit der entsprechenden IP-Quelle und dem entsprechenden Verzeichnis.

Hinweis: Die Regelaktionen Max_threshold und Min_threshold haben alle Funktionen gemeinsam und sie können zusammen mit den anderen Abfragen im Feld Dann verwendet werden, um die entsprechende Ausgabe abzurufen.

Länge

Diese Funktion gibt die Länge eines Metawerts zurück. Mit anderen Worten, die Length-Funktion gibt die Anzahl der Byte zurück, die für das Speichern des tatsächlichen Werts verwendet werden.
So gibt sie z. B. für den Wert „Analytics“ die Länge 9 zurück. Auf ähnliche Weise gibt sie für ein „IPv4 ip.src“ 4 (für 4 Bytes) zurück.

Beispiel

Die folgende Abbildung zeigt eine Musterabfrage für die Funktion length, die für Benutzernamen verwendet wird.

Musterabfrage für die Funktion „Length“, die für Benutzernamen verwendet wird

Die folgende Abbildung zeigt das Ergebnis der obigen Abfrage.

Ergebnis einer Abfrage für die Funktion „Length“, die für Benutzernamen verwendet wird

Hier zeigt die Seite die Länge der Benutzernamen an, die mit dem Benutzerkonto und ihrer entsprechenden Quell-IP assoziiert sind.

Weitere Informationen

Wenn Sie mit Group By auf einem Metadatum, das mehrere Werte in einer Sitzung hat, nach Aggregaten fragen (z. B. sum(size)), dann wird die Sitzung mit mehreren Werten für aggregierte Berechnung für jeden Wert dieses Metadatums berücksichtigt.

Beispiel

Wenn Sie nach der Count-Aggregatfunktion mit „Group By“ auf Alias.host fragen und wenn die Spalte mehrere Werte in einer Sitzung hat, dann wird die Sitzung für jedes Vorkommnis gezählt, einschließlich der Duplikatwerte.

Betrachten Sie die folgende Tabelle.

                           
SessionIDAlias.hostIp.srcGröße
1host-a, host-b, host-aa10
2host-b, host-c, host-a, host-cc20
3host-b, host-c, host-db30
4host-c, host-aa40

In der Tabelle oben hat alias.host für host-a und host-c für eine einzige Sitzung aufgelistete Duplikatwerte. Betrachten wir die folgende Abfrage:

Auswählen: alias.host, count(ip.src), sum(size)
Gruppieren nach: alias.host

Hier sind host-a und host-c in 3 Sitzungen vorhanden und sie sind für zwei verschiedene Sitzungen dupliziert. Die Ausgabe wird allerdings wie unten gezeigt.

                      
Alias.hostcount(Ip.src)Sum (size)
host-a480
host-b360
host-c4110
host-d130

Die Ausgabetabelle zeigt, dass die Anzahl für host-a und host-c 4 ist. Der Grund ist, dass für jeden alias.host-Wert die gesamte Sitzung in Betracht gezogen wird. Auf ähnliche Weise werden zur Berechnung von „sum (size)“ dieselben Sitzungen für jeden alias.host-Wert in Betracht gezogen.

Wenn die Anzahl der Zeilen NWDB - max. Aggregationszeilen, wie in der RE-Konfiguration definiert, erreicht hat, wird in der Berichtsausgabe die Meldung Max. Anzahl aggregierter Zeilen erreicht angezeigt, um darauf hinzuweisen, dass weitere Informationen zur Anzeige vorhanden sind. Das Standardlimit beträgt 1000 und Sie können diesen Wert entsprechend Ihren Anforderungen auf der Reporting Engine-Konfigurationsseite ändern.

Meldung „Max. Anzahl aggregierter Zeilen erreicht“

You are here
Table of Contents > Anhang > Abfrageaggregate

Attachments

    Outcomes