Créer une Requête de Recherche

S'applique À : WatchGuard Advanced Reporting Tool et Data Control

Vous pouvez utiliser des requêtes pour effectuer une recherche dans les données collectées par Advanced Visualization Tool. Aucune connaissance en programmation n'est requise pour créer une requête, mais si vous êtes familier avec SQL, vous pouvez utiliser des scripts dans la fenêtre Search.

La barre d'outils de recherche située au-dessus du tableau de données comprend les principaux outils utilisés pour créer une requête à partir d'un tableau de données :

Screen shot of WatchGuard EPDR, Advanced Visualization Tool toolbar

Icône d'agrégation Aggregate (Agréger)

Les agrégations sont des opérations que vous pouvez effectuer sur les données d'un tableau déjà regroupées par intervalle temporel.

Les fonctions d'agrégation effectuent un calcul sur un ensemble de valeurs et retournent une valeur unique. Les opérations peuvent compter les entrées d'un groupe, identifier la valeur minimale ou maximale d'un groupe, ou calculer la somme des valeurs de champ d'un groupe. Lorsque vous créez une agrégation, une nouvelle colonne s'affiche dans le tableau et indique les résultats de l'opération.

Pour plus d'informations, accédez aux dernières informations de Devo docs (lien externe).

Icône de groupe Group (Grouper)

Vous pouvez regrouper les évènements d'un tableau de données afin de faciliter leur analyse. Le résultat du regroupement est un tableau de données qui présente toutes les différentes combinaisons de valeurs de ligne des colonnes regroupées. Le regroupement est également nécessaire pour appliquer ensuite les opérations d'agrégation aux données.

Pour plus d'informations, accédez aux dernières informations de Devo docs (lien externe).

Icône Filtre OR Filter OR (Filtre OU)

Vous pouvez filtrer les données avec le sélecteur OR, qui vous permet d'inclure les valeurs spécifiques d'une ou plusieurs colonnes de manière à définir un filtre retournant les évènements répondant aux conditions x OR y.

Pour plus d'informations, accédez aux dernières informations de Devo docs (lien externe).

Icône de filtre Filter (Filtre)

Appliquez des filtres aux données d'un tableau de manière à isoler ou exclure des valeurs de champ spécifiées. Les résultats sont immédiatement retournés et s'affichent dans l'ordre chronologique. Advanced Visualization Tool met à jour la chronologie afin de correspondre à la requête.

Pour plus d'informations, accédez aux dernières informations de Devo docs (lien externe).

Icône ajouter une colonne Add Column (Ajouter une Colonne)

Vous pouvez créer de nouvelles colonnes dans vos tableaux de données en fonction d'autres données déjà présentes. À titre d'exemple, appliquez une opération de géolocalisation à une colonne d'adresse IP existante pour créer une nouvelle colonne identifiant le pays.

Pour plus d'informations, accédez aux dernières informations de Devo docs (lien externe).

Pour créer une requête de recherche, dans Advanced Visualization Tool :

  1. Dans le volet gauche, sélectionnez Data Search.
  2. Sélectionnez le tableau de données que vous souhaitez afficher.
    Pour de plus amples informations, accédez à À Propos des Tableaux de Données.
  3. Dans la fenêtre de recherche, utilisez les outils de la barre d'outils pour apporter des modifications au tableau de données.
    Vous devez regrouper vos données avant d'effectuer une opération d'agrégation.

Modifier les Requêtes dans SQL

Au lieu d'utiliser les outils de la fenêtre de recherche, vous pouvez modifier directement une requête.

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Accéder aux Informations d'Accès aux Fichiers pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour ouvrir l'éditeur de requêtes, dans la barre d'outils de recherche, cliquez sur Icône de l'éditeur de requête.

Pour plus d'informations sur la façon de modifier une requête, accédez à Exemple de Texte de Requête SQL.

Vous pouvez également modifier une requête existante à partir des tableaux de bord d'Advanced Reporting ou de Data Control. Chaque mosaïque d'un tableau de bord affiche des données basées sur une requête spécifique. Vous pouvez modifier la requête pour personnaliser le tableau de données.

Pour modifier une requête de tableau de bord existante, dans Advanced Visualization Tool :

  1. Pour ouvrir les tableaux de bord disponibles, dans le volet gauche, sélectionnez Advanced Reporting ou Data Control, puis sélectionnez le tableau de bord que vous souhaitez afficher.
  2. Dans la mosaïque pour laquelle vous souhaitez ouvrir le tableau de données et effectuer la requête, cliquez sur .

Screen shot of the Alerts summary daily tile

  1. Sélectionnez Go to Query.
    Le tableau de données s'ouvre dans la fenêtre de recherche.

Screen shot of WatchGuard EPDR, Advanced Visualization Tool data table

  1. Apportez les modifications nécessaires au tableau de données. Les données sont conservées pendant un an.
  2. Pour ouvrir l'éditeur de code de requête et modifier directement la requête SQL, cliquez sur .
    La requête modifiée pour la table de données s'affiche dans le volet gauche, sous Data Search.

Rubriques Connexes

À Propos des Tableaux de Données

Exemple de Texte de Requête SQL

À Propos d'Advanced Reporting Tool

À Propos de Data Control dans Advanced Visualization Tool