Struktur der AQL-Abfragen

Verwenden Sie Ariel Query Language (AQL) zum Extrahieren, Filtern und Ausführen von Aktionen für Ereignis-und Datenflussdaten, die Sie aus der Ariel-Datenbank in IBM® QRadar®extrahieren. Sie können mit der AQL Daten abrufen, die über die Benutzerschnittstelle nicht so einfach zugänglich sind.

Das folgende Diagramm zeigt den Ablauf einer AQL-Abfrage.

Abb. 1. AQL-Abfrageablauf
AQL-Abfrageablauf

Struktur einer AQL-Anweisung

Mit der Anweisung SELECT können Sie Felder aus Ereignissen oder Datenflüssen in der Ariel-Datenbank auswählen, die als Spalten angezeigt werden. Die folgende Abfrage gibt beispielsweise die Ergebnisse zurück, die in der folgenden Tabelle angezeigt werden:

SELECT sourceip, destinationip, username, protocolid, eventcount FROM events

Tabelle 1. AQL-Abfrageergebnisse
sourceip destinationip Username Protocolid eventcount
192.0.2.21 198.51.100.21 Joe ArielCity in Ariel 233 1
192.0.2.22 198.51.100.24 Jim ArielCity in Ariel 233 1

AQL-Abfragen beginnen mit einer Anweisung SELECT, um Ereignis-oder Datenflussdaten aus der Ariel-Datenbank auszuwählen. Sie können die Datenausgabe der Anweisung SELECT mithilfe der Klauseln WHERE, GROUP BY, HAVING, ORDER BY, LIMIT und LAST optimieren.

AUSWÄHLEN

Verwenden Sie die Anweisung SELECT , um Felder aus Ereignissen oder Datenflüssen auszuwählen. Wählen Sie beispielsweise alle Felder aus Ereignissen oder Datenflüssen aus, indem Sie Folgendes eingeben:

SELECT * FROM eventsoder SELECT * FROM flows

Verwenden Sie die folgenden Klauseln zum Filtern und Bearbeiten der Daten, die von der Anweisung SELECT zurückgegeben werden:
ORT

Use the WHERE clause to insert a condition that filters the output, for example, WHERE logsourceid='65'.

GRUPPIEREN NACH
Verwenden Sie die Klausel GROUP BY , um die Ergebnisse nach einer oder mehreren Spalten zu gruppieren, die Sie in der Abfrage angeben, z. B. GROUP BY logsourceid.
HAVING
Use the HAVING clause to specify a condition after the GROUP BY clause, for example, HAVING MAG > 3.
Sortieren nach
Verwenden Sie die Klausel ORDER BY , um die Ergebnisse für eine Spalte in der AQL-Abfrage in aufsteigender oder absteigender Reihenfolge zu sortieren, z. B. ORDER BY username DESC.
Grenzwert
Verwenden Sie eine LIMIT -Klausel, um die Anzahl der Ergebnisse zu begrenzen, die auf eine bestimmte Zahl zurückgegeben werden, z. B. LIMIT 50 , um die Ausgabe auf 50 Ergebnisse zu begrenzen.
LAST
Use a LAST clause to specify a time frame for the query, for example LAST 1 HOURS.

Das folgende Beispiel enthält alle in der Liste beschriebenen Klauseln:

SELECT sourceip, destinationip, username 
FROM events 
WHERE username = 'test name' 
GROUP by sourceip, destinationip 
ORDER BY sourceip DESC 
LIMIT 10 
LAST 2 DAYS