Ajouter une visualisation de graphique à un tableau de bord

Pour ajouter un graphique ou une autre visualisation à un tableau de bord, utilisez une vignette de visualisation. La carte de visualisation affiche les données de la vue LookML associée, appelée Exploration, que vous sélectionnez lorsque vous créez la carte. Ce document décrit les éléments suivants:

• Comment créer des graphiques et d'autres visualisations à l'aide de la vignette de visualisation
• Comment créer des visualisations des données qui répondent à des cas d'utilisation spécifiques.

Présentation du processus

De manière générale, vous procédez comme suit pour créer une visualisation dans un tableau de bord :

1. Ajoutez une vignette de visualisation au tableau de bord.
2. Sélectionnez l'exploration. Une exploration constitue le point de départ de la nouvelle et représente un modèle de données spécifique.
3. Sélectionnez les champs de données pour la visualisation. Les champs prédéfinis sont regroupés dans l'un les types suivants:
   • Dimensions : attributs des données qui les décrivent. Exemple : La superficie et le matériau de construction d'un musée sont différentes dimensions dans un ensemble de données sur les musées.
   • Mesures: représentation numérique d'une ou plusieurs dimensions, ou attribut unique des données, tel que comme un nombre ou une moyenne.
   • Champs de filtre uniquement: champs prédéfinis qui ne peuvent être utilisés que dans un filtre.
4. Vous pouvez également créer des champs personnalisés compatibles avec un cas d'utilisation spécifique et les ajouter à la carte.
5. Configurez la vignette en sélectionnant les options suivantes:
   • Visualisation : affiche les champs que vous avez sélectionnés de manière visuelle. Par exemple, un graphique en courbes peut montrer les tendances au fil du temps.
   • Filtres: limitez la visualisation aux données qui vous intéressent. N'importe quel champ d'une exploration peut être utilisé pour créer un filtre.
6. Exécutez la visualisation pour prévisualiser les résultats.
7. Enregistrez la vignette de visualisation.

Les sections suivantes de ce document fournissent des informations plus détaillées sur la configuration de chaque composant d'une carte de visualisation.

Exemple : Créer un tableau de données

Les étapes suivantes expliquent plus en détail comment créer un tableau de données à l'aide d'une carte de visualisation et affichent les options de configuration dans la boîte de dialogue Modifier la carte.

1. Dans Tableaux de bord personnels ou Tableaux de bord partagés, sélectionnez un tableau de bord, puis Cliquez ensuite sur more_vert Actions du tableau de bord > Modifier le tableau de bord.
2. Cliquez sur Ajouter > Visualisation.
3. Sélectionnez un modèle de données Explorer. La boîte de dialogue Edit Tile (Modifier la carte) s'affiche.
4. Saisissez un nom de carte unique.
5. Dans Tous les champs, sélectionnez les champs prédéfinis: Dimensions et Mesures. Vous devez généralement choisir au moins deux champs pour créer une visualisation. Les champs que vous sélectionnez apparaissent dans la section Données.
6. Vous pouvez également créer et ajouter les champs personnalisés nécessaires à la visualisation. Ils apparaissent dans la section Données.
7. Dans la section Visualisation, sélectionnez Table comme type de visualisation. La visualisation affiche les champs de données sélectionnés dans le tableau.
8. Dans la section Filtres, définissez des filtres pour limiter les de visualisation pour afficher uniquement les données qui vous intéressent. N'importe quel champ d'une exploration peut être utilisé pour créer un filtre.
9. Dans la section Données, procédez comme suit:
   • Cliquez sur Explorer l'en-tête de champ pour trier les champs par ordre croissant ou décroissant.
   • Définissez Nombre maximal de lignes pour limiter le nombre de lignes qui s'affichent dans la visualisation.
10. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données SIEM de Google Security Operations.
11. Cliquez sur Enregistrer. Le tableau de bord s'affiche avec la nouvelle tuile.

L'image suivante identifie l'emplacement dans la boîte de dialogue Edit Tile (Modifier la vignette) où vous effectuez ces étapes.

Boîte de dialogue "Modifier la carte" avec la configuration

Choisir un modèle de données pour l'exploration

Google Security Operations SIEM fournit plusieurs modèles de données que vous pouvez utiliser pour créer un tableau de bord. Chaque modèle de données est une exploration Looker qui définit un sous-ensemble de champs UDM.

Une exploration est un point de départ lors de la création d'une nouvelle vignette de visualisation. Il est conçu pour explorer un modèle de données particulier. Vous sélectionnez une exploration de modèle de données pour chaque vignette de visualisation.

Google Security Operations SIEM fournit les explorations de modèles de données suivantes:

• Graphique des entités
• Correspondances IoC
• Métrique d'ingestion avec statistiques d'ingestion
• Métriques d'ingestion
• Statistiques d'ingestion
• Détections de règles
• Ensembles de règles avec détections
• Événements UDM
• Agrégations d'événements UDM

Vous pouvez éventuellement créer des champs personnalisés à utiliser uniquement avec la carte dans laquelle ils sont créés.

Sélectionner des champs pour la visualisation du graphique

Une fois que vous avez sélectionné l'exploration d'une carte, les champs UDM prédéfinis apparaissent sous l'onglet Tous les champs de la boîte de dialogue Explorer.

Une fois que vous avez sélectionné des champs dans l'onglet Tous les champs, ils apparaissent à la fois dans l'onglet Utilisés et dans la section Données. Les sous-sections suivantes décrivent les types de champs que vous pouvez choisir pour créer une visualisation graphique.

Champs prédéfinis

Chaque exploration comprend un ensemble différent de champs UDM prédéfinis. Les champs prédéfinis les champs disponibles dans la vignette sont spécifiques au modèle de données que vous sélectionnez dans Boîte de dialogue Choose an Explore (Sélectionner une exploration)

Les champs prédéfinis sont regroupés dans les types suivants :

• Dimensions
• Mesures
• Champs de filtre uniquement

Les icônes situées à côté de chaque champ fournissent plus d'informations et indiquent les options disponibles. telles que Filtrer par champ, Croiser les données, Agréger, Bin ou Groupe. Cliquez sur l'icône Info pour afficher le texte d'aide du champ. Ces icônes sont visibles lorsque vous appuyez de manière prolongée le pointeur sur un champ. Pour en savoir plus, consultez Informations et actions spécifiques aux champs.

Vous pouvez utiliser des champs prédéfinis pour créer des dimensions et mesures personnalisées, créer des calculs de table et appliquer des filtres à la vignette.

Une exploration peut inclure des champs obsolètes qui ne sont plus acceptés. Les champs obsolètes sont identifiés par un nom de champ suivi de [D].

Certains modèles de données incluent des champs de filtre uniquement prédéfinis qui ne peuvent être utilisés dans un filtre. Dans un modèle de données, les champs réservés au filtrage peuvent inclure un ou plusieurs des types de champs suivants:

• Champs UDM individuels
• Champs UDM regroupés

Certains modèles de données de l'exploration, comme les événements UMD, incluent des mesures plus précises pour Champs qui stockent un code temporel (par exemple, principal.artifact.first_seen_time et security_result.about.file.last_modification_time).

Ces mesures séparent l'horodatage en incréments plus précis (par exemple, des heures, jour, semaine ou année. Le modèle fournit également des mesures minimale et maximale pour chaque incrémenter. Cela vous permet de créer des graphiques plus détaillés qui agrègent le nombre d'événements en fonction d'incréments de temps et d'heure.

Champs personnalisés

Les champs personnalisés sont des champs que vous créez à l'aide des champs prédéfinis disponibles dans le modèle de données de la carte. Les champs personnalisés ne peuvent être utilisés que dans cette vignette.

Vous pouvez créer les types de champs personnalisés suivants :

• Dimensions personnalisées
• Mesures personnalisées
• Expressions de table personnalisées

Pour accéder au menu des champs personnalisés dans la boîte de dialogue Edit Tile (Modifier la vignette), cliquez sur Cliquez sur + Ajouter sous Tous les champs > Champs personnalisés. L'image suivante montre l'emplacement du menu.

Créer une dimension personnalisée

Les dimensions personnalisées sont des attributs uniques qui vous aident à décrire les données. Par exemple : la concaténation du prénom et du nom d'un utilisateur peut correspondre à une dimension personnalisée.

Pour ajouter des dimensions personnalisées à une carte, procédez comme suit:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la tuile, cliquez sur + Ajouter > Dimension personnalisée : La boîte de dialogue Créer une dimension personnalisée s'affiche.
4. Dans la boîte de dialogue Créer une dimension personnalisée, procédez comme suit:
   1. Dans le champ Expression, saisissez une expression Looker qui définit la valeur à l'aide de une fonction et un opérateur Looker. L'éditeur d'expression Looker suggère des noms de champs et affiche la syntaxe de toutes les fonctions que vous utilisez. Voici des exemples d'expressions:
      • Concatène le nom du flux IOC et la valeur IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Matchs IOC. concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • Renvoie la première valeur non vide. L'ordre est composé du nom d'hôte, puis de l'adresse IP. Si aucune de ces options n'existe, affiche _. Vous ne pouvez utiliser cet exemple que dans l'exploration Entity Graph. coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. Sélectionnez un format dans le menu Format.
   3. Indiquez le nom de la dimension personnalisée dans le champ Nom. Cette valeur apparaîtra dans l'onglet Tous les champs et dans la table Données.
   4. Sélectionnez + Ajouter une description pour ajouter une description dans le champ Description.
   5. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner une dimension personnalisée pour l'ajouter à la vignette ou la supprimer.

Créer des mesures personnalisées

Les mesures sont des représentations numériques d'une ou plusieurs dimensions (ou d'attributs uniques des données), comme un nombre ou une moyenne. Les mesures vous permettent de calculer la clé d'indicateurs de performance (KPI) et aident les utilisateurs à analyser les données à l'aide de différents attributs agrégés.

Les mesures personnalisées vous permettent de définir un calcul numérique spécifique pour un champ. Selon le type de champ, seuls certains types de mesures sont disponibles.

Pour ajouter une mesure personnalisée à une vignette, procédez comme suit:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la carte, cliquez sur + Ajouter, puis sélectionnez Mesure personnalisée. La boîte de dialogue Créer une mesure personnalisée s'affiche.

4. Dans la boîte de dialogue Créer une mesure personnalisée, procédez comme suit:

   1. Sélectionnez un champ dans le menu Champ à mesurer.
   2. Sélectionnez un type de mesure dans le menu Type de mesure.
   3. Saisissez un nom dans le champ Nom. Le nom apparaît dans le sélecteur de champs et dans le tableau de données.

   4. Dans l'onglet Filtres, procédez comme suit:

      1. Pour ajouter une condition de filtre, sélectionnez un champ dans le menu Nom du filtre. Vous pouvez ajouter ou supprimer des conditions de filtre à l'aide de les add_circle_outline et remove_circle_outline, respectivement, Valeur du filtre.
      2. Vous pouvez sélectionner la flèche à côté de Filtre personnalisé pour créer une expression de filtre personnalisé à l'aide de toute fonction et opérateur Looker pouvant être utilisés dans les filtres personnalisés. L'éditeur d'expressions Looker suggère noms de champs et affiche l'aide sur la syntaxe des fonctions que vous utilisez. Voici des exemples d'expressions:
         • Mesure les journaux de flux IOC pour une valeur unique. Vous ne pouvez utiliser cet exemple que dans l'exploration Correspondances RIO. ${ioc_matches.feed_log_type} != ""
         • Mesure l'IOC en secondes en fonction de l'intervalle de temps: ${ioc_matches.day_bucket_seconds}

   5. Dans l'onglet Détails du champ, procédez comme suit:

      • Sélectionnez un format dans le menu Format.
      • Vous pouvez ajouter une description de 255 caractères maximum dans le champ Description pour fournir aux autres utilisateurs des informations supplémentaires sur le champ personnalisé.

   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour les autres champs, vous pouvez sélectionner le champ personnalisé à ajouter à la carte.

Créer un calcul de table personnalisé

Les calculs de table vous permettent de créer des métriques ad hoc. Elles sont comparables aux formules disponibles dans les outils de feuille de calcul, tels que Google Sheets.

Google Security Operations vous permet d'ajouter des calculs personnalisés à une carte. Ces calculs de table personnalisés sont créés à l'aide d'expressions Looker. Vous ne pouvez créer des calculs de table qu'à l'aide des champs de l'exploration.

Procédez comme suit pour créer un calcul de table et l'ajouter à une vignette:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Champs personnalisés de la boîte de dialogue Modifier la tuile, cliquez sur + Ajouter > Calcul de tables. La boîte de dialogue Créer un calcul de table s'affiche.
4. Dans la boîte de dialogue Créer un calcul de table, procédez comme suit:
   1. Sélectionnez un type de calcul dans Calcul. . Les options de l'expression personnalisée s'affichent par défaut.
   2. Saisissez une expression Looker dans le champ pour définir un calcul. Voici des exemples d'expressions de calculs de table:
      • L'expression suivante utilise la fonction diff hours pour afficher la différence entre deux codes temporels. Vous pouvez utiliser cet exemple uniquement dans l'exploration Détections de règles. diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • L'expression suivante compte les valeurs IOC. Vous ne pouvez utiliser cet exemple que dans l'exploration Matchs IOC. count(${ioc_matches.ioc_value})
   3. Sélectionnez un format dans le menu Format.
   4. Saisissez un nom de calcul dans le champ Nom.
   5. Sélectionnez + Ajouter une description pour ajouter une description facultative aux utilisateurs plus de contexte sur le calcul de table.
   6. Cliquez sur Enregistrer.

L'onglet Tous les champs affiche le champ dans la section Champs personnalisés. Comme pour autres champs, vous pouvez sélectionner le champ de calcul personnalisé pour l'ajouter à la vignette ou le supprimer.

Sélectionnez le type de graphique de visualisation

Les visualisations affichent les données de manière visuelle pour vous aider à identifier les anomalies et les tendances. Le tableau de bord SIEM des opérations de sécurité de Google est basé sur la technologie Looker, y compris les visualisations Looker.

Vous trouverez ci-dessous les types de visualisations que vous pouvez utiliser dans la solution SIEM Google Security Operations. tableaux de bord:

• Options du graphique à colonnes
• Options du graphique à barres
• Options de graphique à nuage de points
• Options du graphique en courbes
• Options du graphique en aires
• Options du graphique en boîte
• Options du graphique en cascade
• Options du graphique à secteurs
• Options du graphique en anneau
• Options du graphique d'entonnoir
• Options de graphiques chronologiques
• Options de graphiques à valeur unique
• Options de graphique pour un enregistrement unique
• Options du tableau
• Options de graphique des tables (anciennes)
• Options des graphiques en nuage de mots
• Options de graphiques Google Maps
• Options des graphiques cartographiques
• Options du graphique de carte statique (régions)
• Options du graphique de carte statique (points)

Le bouton Exécuter de la boîte de dialogue Modifier la carte vous permet d'afficher un aperçu à l'aide des champs et du type de visualisation sélectionnés. Actualisez l'aperçu après avoir ajusté et modifié la configuration des cartes en cliquant sur Run (Exécuter).

Sélectionner les champs à utiliser comme filtres

Les filtres vous permettent de limiter les données affichées dans la visualisation aux éléments uniquement qui vous intéressent. Vous pouvez créer des filtres à l'aide des champs du modèle de données de l'exploration.

Le tableau de bord SIEM de Google Security Operations est basé sur la technologie Looker, y compris les filtres Looker. Vous pouvez créer les types de filtres suivants : dans une carte:

• Les filtres standards créent à l'aide de champs prédéfinis ou personnalisés. Définissez ces filtres à l'aide des Section Filters (Filtres) de la boîte de dialogue Edit Tile (Modifier la carte)
• Les filtres personnalisés avec Expressions Looker: spécifiez la logique métier détaillée et combinez les deux AND et OR, ou utiliser les fonctions Looker. Cliquez sur l'expression personnalisée dans la section Filters (Filtres) de la boîte de dialogue Edit Tile (Modifier la carte).

Certains champs prédéfinis peuvent être utilisés dans un filtre. Ces champs apparaissent dans la section Tous les champs uniquement lorsque le modèle de données inclut des champs de filtre uniquement prédéfinis.

Pour ajouter un filtre à une carte, procédez comme suit :

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Ouvrez une carte à modifier.
3. Dans la section Tous les champs, sélectionnez les champs que vous souhaitez utiliser comme filtres. en cliquant sur Filtrer par champ filter_list à côté de chaque nom de champ.

4. Dans la section Filtres, vous pouvez:

   • Définissez les conditions de filtre pour chaque champ répertorié dans la section Filtres.
   • Cliquez sur Expression personnalisée et ajoutez des valeurs dans le champ Filtre personnalisé.

5. Cliquez sur Exécuter pour mettre à jour l'aperçu de la visualisation.

Exemples pour des cas d'utilisation spécifiques

Les sections suivantes décrivent comment créer des visualisations qui soutiennent des différents cas d'utilisation.

Créer une carte qui affiche les types d'IOC

Pour ajouter une vignette au tableau de bord afin de surveiller les types d'IOC:

1. Ouvrez un tableau de bord à modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choisir une exploration, sélectionnez Correspondances IOC.
4. Saisissez un nom de carte.
5. Sélectionnez les dimensions suivantes: Type d'oc et Date d'horodatage de l'événement > Date :
6. Sélectionnez l'option Measurements (Mesures) suivante: Count (Nombre).
7. Dans l'onglet Utilisé, pointez sur la date d'horodatage de l'événement de date. puis sélectionnez filter_list Filtrer par champ. Le champ est alors ajouté à la section Filtres.
8. Dans la section Filtres, appliquez les conditions de filtre que vous souhaitez utiliser.
9. Dans la section Visualisation, sélectionnez l'icône Colonne.

10. Dans la section Données, procédez comme suit:

    • Cliquez sur l'en-tête Nombre de correspondances IOC pour trier les champs par ordre croissant ou décroissant.
    • Définissez le Nombre maximal de lignes sur une valeur, par exemple 50, pour limiter le nombre de lignes affichées dans la visualisation.

11. Après avoir configuré la carte, cliquez sur Run (Exécuter) pour prévisualiser la visualisation. à l'aide des données Google Security Operations. L'aperçu est affiché avec les types d'IOC en fonction des correspondances entre les IOC et la date du code temporel de l'événement.

    L'image suivante montre un exemple de graphique créé en suivant ces étapes.

    

12. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec la nouvelle vignette.

Créer une carte avec des champs énumérés

Le modèle de données unifié SIEM de Google Security Operations comprend plusieurs champs énumérés avec stockées sous forme de texte et de nombres. Les valeurs associées à chaque champ enum peuvent figure dans la liste des champs de l'UDM.

Dans certaines explorations, la valeur textuelle et la valeur numérique du champ enum sont stockées dans des champs distincts. Par exemple, avec le champ metadata.event_type l'une des valeurs d'énumération est FILE_CREATION et le nombre associé est 14001.

Dans une exploration, les champs suivants stockent les valeurs metadata.event_type:

• metadata.event_type stocke la valeur numérique, 14 001.
• metadata.event_type_enum_name stocke la valeur textuelle, FILE_CREATION.

Lorsque vous ajoutez un champ énuméré à une carte, ajoutez le champ qui stocke la valeur textuelle au lieu de le numéro.

Suivez les instructions suivantes pour ajouter une carte avec des champs énumérés à un tableau de bord:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).
4. Saisissez un nom de carte.
5. Dans Rechercher un champ, recherchez un champ UDM, tel que metadata.event_type.
6. Dans Dimensions, sélectionnez metadata.event_type_enum_name et security_result.action_enum_name.
7. Dans Mesures, sélectionnez Nombre.
8. Dans l'onglet Utilisé, pointez sur security_result.action_enum_name puis sélectionnez filter_listFiltrer par champ. Les filtres du champ sélectionné s'affichent dans la section Filtres.
9. Dans la section Filtres, sélectionnez est égal à, puis BLOQUER en tant que valeurs.
10. Dans la section Visualisation, sélectionnez l'icône Table.

11. Dans la section Données, procédez comme suit:

    • Cliquez sur l'en-tête UDM Count (Nombre d'UDM) pour trier les champs par ordre croissant ou décroissant.
    • Définissez le Nombre maximal de lignes sur une valeur (50, par exemple) pour limiter le nombre de lignes affichées dans la visualisation.

12. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation à l'aide des données Google Security Operations. L'aperçu affiche les valeurs metadata.event_type par nombre. où le nom security_result.action_enum est BLOCK.

    L'image suivante montre un exemple de graphique créé à l'aide de ces étapes.

    

13. Cliquez sur Enregistrer.

La page Tableaux de bord s'affiche avec la vignette que vous venez d'ajouter.

Utiliser un tableau croisé dynamique dans un tableau de données

Vous pouvez utiliser un tableau croisé dynamique pour afficher le nombre d'événements pour plusieurs dimensions.

La vignette suivante affiche le nombre d'événements pour toutes les valeurs de la Champs metadata.event_type_enum_name et security_result_action_enum_name. Dans cet exemple, un tableau croisé dynamique est appliqué au champ security_result_action_enum_name.

Procédez comme suit pour créer ce tableau de données contenant un tableau croisé dynamique:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).
4. Saisissez un nom de carte.
5. Sélectionnez les champs de dimension metadata.event_type_enum_name et security_result_action_enum_name.
6. Sélectionnez le champ Mesurer Count.
7. Dans la section Filtre, créez les filtres suivants:
   • UDM metadata_event_timestamp a lieu au cours des 2 dernières heures.
   • UDM security_result.action_enum_name n'est pas nulle.
8. Dans l'onglet Utilisé, vérifiez que les champs suivants sont affichés. Si des éléments sont manquants, répétez les étapes précédentes pour configurer la carte.
   • metadata.event_timestamp
   • metadata.event_type_enum_name – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings. dans l'en-tête de colonne security_result.action_enum_name, puis sélectionnez Tableau croisé dynamique.
10. Une nouvelle ligne s'affiche dans la grille sous Données.
11. Dans la section Visualisation, sélectionnez l'icône Table.
12. Cliquez sur Run (Exécuter) pour afficher un aperçu de la visualisation.

L'image suivante montre ces options de configuration dans la boîte de dialogue Edit Tile (Modifier la carte).

Options de configuration pour les tableaux de données croisés dynamiques dans un tableau de données

Créer un graphique chronologique à l'aide d'un tableau croisé dynamique avec des champs de date

Vous pouvez utiliser un tableau croisé dynamique avec des champs de date pour créer un graphique chronologique. Les éléments suivants : La carte affiche le nombre d'événements par heure pour les valeurs des champs security_result_action_enum_name.

Dans cet exemple, un pivot est appliqué au champ security_result_action_enum_name. Le filtre limite la plage de dates et exclut les données pour lesquelles le paramètre security_result_action_enum_name la valeur est null. Elle utilise le champ de date metadata.event_timestamp Hour prédéfini qui partitionne les données par heure.

Pour utiliser un tableau croisé dynamique avec des champs de données, procédez comme suit:

1. Ouvrez un tableau de bord existant pour le modifier ou créez-en un.
2. Cliquez sur Ajouter > Visualisation.
3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).
4. Saisissez un nom de carte.
5. Sélectionnez les champs Dimension: metadata.event_timestamp Hour et security_result_action_enum_name.
6. Sélectionnez le champ Mesurer: Count.
7. Dans la section Filtre, créez les filtres suivants:
   • UDM metadata_event_timestamp est dans la plage, puis sélectionnez une date et une heure de début et de fin.
   • UDM security_result.action_enum_name n'est pas nul.
8. Dans l'onglet Utilisé, vérifiez que les champs suivants sont affichés. Le cas échéant sont manquantes, répétez les étapes précédentes pour configurer la carte.
   • metadata.event_timestamp
   • metadata.event_timestamp Hour – metadata
   • security_result_action_enum_name – security_result
   • Count
9. Dans la section Données, cliquez sur l'icône settings. dans l'en-tête de colonne security_result.action_enum_name, puis sélectionnez Tableau croisé dynamique. Une nouvelle ligne apparaît dans la grille de données.
10. Dans la section Visualisation, sélectionnez l'icône Table.
11. Cliquez sur Run (Exécuter) pour afficher un aperçu de la visualisation.

L'image suivante illustre ces options de configuration dans la boîte de dialogue Edit Tile (Modifier la carte).

Options de configuration pour un tableau croisé dynamique dans un champ de date

Créer un graphique avec des mesures de code temporel détaillées

Vous pouvez créer un graphique avec le nombre d'événements pour chaque type de journal, ainsi que les événements les plus anciens (min) et le plus récent (max). Ce graphique utilise le metadata.product_name pour identifier le type de journal.

Pour créer un graphique avec les codes temporels min ou max:

1. Ouvrir un tableau de bord existant pour le modifier ou créez un tableau de bord.

2. Cliquez sur Ajouter > Visualisation.

3. Dans la boîte de dialogue Choose an Explore (Sélectionner une exploration), sélectionnez UDM Events (Événements UDM).

4. Saisissez un nom de carte.

5. Sélectionnez le champ Dimension: metadata.product_name.

6. Sélectionnez les champs Mesurer: Count, metadata.event_timestamp (min) Date, metadata.event_timestamp (max) Date

7. Cliquez sur Run (Exécuter) pour prévisualiser la visualisation. L'aperçu s'affiche avec metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date. au format de date.

8. Cliquez sur Enregistrer. La page Tableaux de bord s'affiche avec le graphique nouvellement ajouté. Le graphique comprend les colonnes metadata.product_name, UDM, metadata.event_timestamp (min) Date et metadata.event_timestamp (max) Date avec des valeurs.