Saltar al contenido principal

Panel de consultas

El "Panel de consultas" permite configurar todos los elementos para realizar una consulta interactiva.

Aquí tiene una explicación de todos los parámetros de consulta:

Selector de dimensiones

El selector de dimensiones permite al usuario seleccionar todas las dimensiones de su red simultáneamente para una consulta. En la medida de lo posible, las dimensiones se presentarán relacionadas entre sí. Por ejemplo, si se selecciona la dimensión "Device Name" y "App Name", el sistema presentará, para cada dispositivo, todas las aplicaciones que se hayan identificado en el periodo establecido.

El número y la naturaleza de las dimensiones disponibles dependerán de la versión de Wizzie. La plataforma añade constantemente nuevas dimensiones con más información disponible de la red, de los cálculos y las relaciones, de los procesos basados en la inteligencia artificial, de las bases de datos y de los proveedores de enriquecimiento de la red y de inteligencia sobre amenazas.

Asimismo, las dimensiones disponibles para un usuario pueden depender del plan Wizzie contratado y de las suscripciones opcionales activadas.

Clase de dimensiónNombre de la dimensión
Dispositivodirección, ciudad, país, IP, nombre, identificación de observación, oficina, lugar, código postal, región, número de serie
Alarmaevento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, valores.
Licenciaduración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta.
Jerarquíahijo (hasta una profundidad máxima de 6), cliente, etiquetas, MSP, padre, revendedor, SP.
Capa 7host, categoría de host, host L2, referer, referer L2 familia SaaS, nombre SaaS, aplicación.
Transportemotor, agente de usuario, protocolo L4, puerto LAN l4, banderas TCP, ToS, protocolo WAN L4.
Redinterfaz LAN, ip LAN, sistema autónomo LAN, país LAN, red LAN, interfaz WAN, ip WAN, sistema autónomo WAN, país WAN, red WAN.
Otrostipo de colector, dirección, exportador de flujo, tipo de producto, nombre del selector

Selector de métricas

Al igual que en el selector de dimensiones, el usuario puede elegir hasta cuatro métricas simultáneamente mediante este selector de métricas. Tenga en cuenta que algunas métricas sólo funcionan en asociación con determinadas dimensiones.

Las métricas disponibles son las siguientes:

MétricaTrabaja con las siguientes dimensiones
bytesTodos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
bpsTodos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
paquetesTodos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
paquetes/s,Todos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
flujosTodos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
flujos/s,Todos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
cardinalidadTodos excepto: evento, categoría de evento, dimensiones, duración, gravedad, estado, hora, título, duración de la consulta, dimensiones del número de consultas, métricas del número de consultas, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta
TDUsDuración de la consulta, número de dimensiones de la consulta, número de métricas de la consulta, tipo de consulta, nombre del usuario de la consulta, correo electrónico del usuario de la consulta, cualquier dimensión jerárquica
Licencia de bytesCualquier dimensión jerárquica

Consejo: Cuando el usuario selecciona "Cardinality" como métrica, el sistema realiza un conteo con el número de ocurrencias de la primera dimensión seleccionada. La tabla de resultados eliminará la primera dimensión de sus columnas y en su lugar colocará el número de veces que ha contado esa dimensión. Por ejemplo, si se selecciona "Device Name" como primera dimensión y "App Name" como segunda dimensión, el sistema devolverá las aplicaciones activas de cada dispositivo, una por una. Sin embargo, si seleccionamos la métrica " Cardinality " el sistema devolverá el número de dispositivos por los que ha circulado aplicación por aplicación sin detallar de qué dispositivos se trata.

Selectores de orden

Mediante estos selectores usted podrá mostrar los resultados tanto en orden descendente como ascendente, así como ordenarlos por metricas o dimensiones, tanto por la primera métrica (modo por defecto), como por la primera dimensión.

Selector de intervalo de tiempo

Mediante el selector de intervalo de tiempo usted podrá seleccionar el periodo de tiempo de la consulta, tanto en modo absoluto como relativo a la hora y dia actual.

Para activar la selección de la hora absoluta, haga clic en las fechas y horas mostradas, se desplegará el selector de horas y el calendario, donde podrá seleccionar la hora exacta y el dia, tanto de inicio como de finalización de la consulta.

Opcionalmente también tendrá la opción de seleccionar el tiempo relativo a la consulta respecto a la hora y dia actual. Haga clic en el selector inferior se desplegará una lista de períodos relativos donde podrá seleccionar el intervalo deseado.

Hay que tener en cuenta que las consultas realizadas con tiempo relativo (tipo "Ultima hora") se verán afectadas por la "Time Machine" actual. Si se ajusta a una fecha distinta de "¡Ahora!", una consulta de tipo "Última hora" devolverá los datos correspondientes a la hora inmediatamente anterior a la del "Time Machine" seleccionada en lugar de la última hora respecto a la hora actual.

Selector de horario

Cuando un usuario esté anclado a un nivel jerárquico descendiente de un cliente (customer) que tenga horarios definidos, tendrá disponible la opción de vincular las analíticas a uno de esos horarios.

Esto permitirá aplicar un filtro temporal automático a la consulta, de modo que solo se mostrarán los resultados que se encuentren dentro del intervalo definido por el horario seleccionado. Esta funcionalidad es especialmente útil para centrar el análisis en franjas horarias relevantes, como turnos de trabajo, horarios comerciales o ventanas operativas específicas.

Selector de granularidad

El selector de granularidad permite elegir el nivel de detalle (cada punto de datos en el tiempo) en el que se quiere recibir la información de una consulta. Wizzie agrega los datos de tal manera que aligera las consultas sin perder información relevante. La granularidad mínima del sistema es de un minuto. Para aligerar una consulta (hacerla más rápida), el usuario puede seleccionar granularidades mayores que la predeterminada. El sistema cambia automáticamente la granularidad de cada consulta en función del tamaño de tiempo seleccionado para una determinada consulta, de modo que se obtiene un resultado equilibrado. No tiene mucho sentido consultar un periodo de una semana con visibilidad minuto a minuto, por lo que el sistema seleccionará automáticamente una granularidad de una hora para el ejemplo dado.

Hay que tener en cuenta que aunque la granularidad de los datos (que es independiente de la granularidad seleccionada para una determinada consulta), cambia con el tiempo según el plan Wizzie contratado. Por ejemplo, en el plan avanzado, los datos iniciales se registran con una granularidad de un minuto durante los primeros 7 días. Después de esa primera semana, la granularidad pasa a ser de 5 minutos para los primeros 30 días y de 30 minutos para los primeros 180 días.

Selector de nivel

Pulsando este selector se nos desplegará los nodos disponibles a los que podremos vincular nuestra consulta. También dispondremos de un cuadro de búsqueda en la parte superior, donde podremos escribir el nombre del nivel deseado para localizarlo más rapidamente.

Esto actuará como un filtro en nuestra consulta, mostrando solo resultados referentes a ese nodo de la jerarquía de su organización.

Límite de filas

Aquí podrá indicar cuantos resultados desea que sean mostrados en la consulta, tanto en el gráfico como en la tabla adyacente.

Selector de filtros

El selector de filtros permite introducir manualmente los criterios de selección de resultados.

Al pulsar sobre el botón "Añadir filtro" se abrirá el cuadro de diálogo con los selectores de dimensiones y de filtros.

En este cuadro de diálogo deberá seleccionar la dimensión sobre la que desea aplicar el filtro (entre todas las disponibles), así como el tipo de criterio de filtrado a utilizar. A continuación se describen los distintos tipos de filtros disponibles:

  • Contiene: Filtra los resultados que incluyen el valor introducido en cualquier parte del campo.

  • Comienza con: Muestra los elementos cuyo valor empieza por el texto especificado.

  • Termina con: Muestra los elementos cuyo valor finaliza con el texto introducido.

  • Es: Coincidencia exacta entre el valor del campo y el criterio especificado.

  • No es: Excluye los elementos cuyo valor coincida exactamente con el criterio introducido.

  • Es verdadero: Aplica un filtro booleano mostrando únicamente los registros con valor verdadero.

  • Es falso: Similar al anterior, pero filtra los registros con valor falso.

  • Búsqueda no sensible: Funciona igual que “Contiene”, pero no distingue entre letras mayúsculas y minúsculas.

En algunos casos, el filtro seleccionado requerirá que se introduzca un valor de comparación. Cuando esto ocurra, se habilitará automáticamente un cuadro de texto donde podrá escribir dicho valor, utilizando etiquetas (tags) si se desea especificar múltiples criterios. Estos valores serán comparados con los datos de la dimensión seleccionada para devolver los resultados que cumplan con las condiciones del filtro.

Consejo: Al poner varios valores en la misma línea de filtro, mediante diferentes etiquetas, el sistema lo interpretará como un operador "OR" entre los valores mencionados. Por ejemplo: "La zona es Madrid, Barcelona" se interpretará como un filtro que especifica que la zona es Madrid o Barcelona.

Ejemplos:

La Zona es Madrid (La dimensión es "Zone", el operador es "Es" y el valor es "Madrid").

Client MAC no es nulo ( La dimensión es "Client Mac", el operador es "No es" y el valor es "null").

El usuario debe introducir los filtros deseados individualmente. Cada filtro añadido actúa como un operador "AND" entre las diferentes filtrados.

Sugerencia: Utilizando inteligentemente estos filtros se pueden crear consultas que serán la base para crear alarmas. Las alarmas en Wizzie se realizan mediante la ejecución de consultas ordinarias. Cuando una consulta produce alguna línea de resultado y esta consulta se almacena como Analítica con una alarma asociada, el sistema ejecuta periódicamente la consulta y convierte cada línea de resultado en un evento (alarma).

Ejemplo: Si se establece una consulta con la dimensión "Dispositivo", una métrica "Bytes", un intervalo de "Últimos 15 minutos" y un filtro de Bytes "Menor que" 1, la consulta devolverá una línea por cada dispositivo que no haya enviado o recibido ningún dato en los últimos 15 minutos que puede ser la base de una alerta.

Selector de filtros "Having"

Los filtros "Having" permiten restringir los resultados aplicando condiciones sobre los valores agregados después de que los datos hayan sido agrupados. A diferencia de los filtros convencionales que actúan sobre los datos individuales, los filtros "Having" operan sobre los resultados ya procesados y agrupados, lo que permite establecer criterios más avanzados para el análisis de datos.

Al pulsar sobre el botón "Añadir filtro" se abrirá el cuadro de diálogo donde será necesario configurar los parámetros del filtro.

  • Métrica: Seleccione la métrica sobre la que se aplicará el filtro entre las disponibles en la aplicación.

  • Tipo de filtro: Defina el tipo de condición que se aplicará al valor agregado. Hay tres opciones disponibles:

    • Igual a: El valor agregado debe coincidir exactamente con el valor especificado.
    • Mayor que: El valor agregado debe ser mayor que el valor especificado.
    • Menor que: El valor agregado debe ser menor que el valor especificado.

  • Valor: Introduzca uno o más valores para el filtro. Para añadir un valor, escriba el dato deseado y pulse Enter para confirmar la entrada. Si desea añadir varios valores, repita el proceso para cada uno.

Ejemplo: Si tenemos un conjunto de datos de eventos y queremos mostrar solo aquellos cuyo número total de ocurrencias supere los 50, configuraríamos el filtro "Having" seleccionando la métrica "Eventos", como tipo de filtro elegiriamos "Mayor que" y estableceriamos un valor de 1000.

Este filtro mostrará únicamente los tipos de eventos que cumplan con esta condición después de que los datos hayan sido agrupados, proporcionando un análisis más preciso y focalizado sobre la actividad de los eventos.