在 Grafana 仪表盘中可视化 AQL 查询

使用 IBM Security QRadar® AQL 插件，针对您的 IBM Security QRadar 实例运行 Ariel 查询语言 (AQL) 查询。
Grafana 仪表盘面板会显示您的查询结果。
Grafana 插件发行版还包含示例仪表盘 JSON。

有关插件的更多信息，请参阅 IBM Security QRadar AQL 插件用户文档。
有关 AQL 查询的更多信息，请参阅 Ariel 查询语言 (AQL) 概述。

重要提示：IBM Security QRadar AQL 插件支持 events、flows 和 globalview Ariel 数据库。所有查询的 AQL 函数语法均相同。

在 Grafana 中配置 IBM Security QRadar 数据源

在您的 Grafana 实例中为 IBM Security QRadar AQL 插件配置外部数据源，以与 IBM Security QRadar 通信。

开始之前

验证 IBM Security QRadar AQL 插件已安装。

1. 在您的 Grafana 实例中，从导航菜单中，点击 Administration > Plugins and data > Plugins。
2. 在 Search 字段中，输入 IBM Security QRadar。
3. 点击 IBM Security QRadar 磁贴。
4. 点击 Install。要在 Grafana 中配置 IBM Security QRadar 数据源，您必须完成以下任务：

• 从您的 IBM Security QRadar 实例中获取 IBM Security QRadar URL。
• 与 IBM Security QRadar 管理员协作，获取 IBM Security QRadar SSL 证书和授权服务令牌。

步骤

1. 在您的 Grafana 实例中，从导航菜单中，点击 Administration > Data Sources。
2. 在 Data sources 页面上，点击 Add new data source。
3. 在 Filter by name or type 字段中，输入 IBM Security QRadar，然后选择 IBM Security QRadar 磁贴。
4. 在 QRadar Host 字段中，输入您的 QRadar URL。
5. 在 QRadar Port 字段中，输入您的 QRadar 端口（默认为 443）。
6. 在 Results Range 字段中，输入所有查询的全局结果范围（默认为 0-49）。
7. 在 Plugin Timeout 字段中，输入所有查询的响应超时限制。超时值格式为 xxhxxmxxs（默认为 5 分钟）。
8. 在 Plugin TimeZone 字段中，输入所有查询的时区，例如 Europe/London（默认为 UTC）。
9. 在 SSL Certificate 字段中，输入您的 QRadar SSL 证书。
10. 在 Authorized Service Token 字段中，输入您的 QRadar 授权服务令牌。
11. 点击 Save & test。如果您的配置成功，将显示 Data source is working 消息。

导入示例仪表盘

预构建仪表盘的 JSON 文件可在 IBM Security QRadar 数据源配置页面上找到。
使用示例仪表盘作为创建您自己仪表盘的参考。

关于此任务

如果您修改了示例仪表盘，系统会提示您保存或覆盖更改。
如果您想将更改保存到新仪表盘，点击 Save as。否则，您的更改将丢失。

重要提示

如果您保存示例仪表盘的副本，仪表盘数据链接 URL 中的唯一标识符 (UID) 值会发生变化。
您必须更新引用您已保存仪表盘的数据链接 URL 中的 UID 值和名称。
有关更多信息，请参阅 配置数据链接。

步骤

1. 在您的 Grafana 实例中，从导航菜单中，点击 Connections > Data sources。
2. 在 Data sources 页面上，从表格中选择 IBM Security QRadar 数据源。
3. 在 IBM Security QRadar 页面上，点击 Dashboards 选项卡。
4. 找到您想导入的示例仪表盘所在行，然后点击 Import。
5. 从导航菜单中，点击 Dashboards 图标。
6. 在 Dashboards 页面上，点击您已导入的示例仪表盘。示例仪表盘将显示。