Beispiele für Ereignis- und Datenflussabfragen

Verwenden oder bearbeiten Sie Abfragebeispiele, um Ereignisse und Datenflussabfragen zu erstellen, die Sie für Ihre AQL-Suchen verwenden können.

Verwenden Sie die folgenden Abfragebeispiele, um Informationen zu Ereignissen und Datenflüssen in Ihrem Netz abzurufen, oder bearbeiten Sie diese Beispiele, um eigene angepasste Abfragen zu erstellen.

Wichtig: Beim Abfragen von Ereignissen müssen Sie events in Kleinbuchstaben eingeben.

Ereignisraten und Datenflussraten für bestimmte Hosts

SELECT AVG(Value), "Metric ID", Hostname
FROM events 
WHERE LOGSOURCENAME(logsourceid) 
ILIKE '%%health%%' 
AND ("Metric ID"='FlowRate' OR "Metric ID"='EventRate') 
GROUP BY "Metric ID", Hostname 
LAST 15 minutes

Diese Abfrage gibt die Spalten AVG_Value, Metric IDund Hostname aus der Ereignis-oder Datenflussdatenbank für die letzten 15 Minuten aus.

Die Spalte AVG_Value gibt einen Wert für die durchschnittliche Fluss-oder Ereignisrate über die letzten 15 Minuten für den Host zurück, der in der Spalte Hostname angegeben ist.

EPS-Raten nach Protokollquelle

SELECT logsourcename(logsourceid) 
AS 'MY Log Sources', 
SUM(eventcount) / 2.0*60*60 
AS EPS_Rates
FROM events 
GROUP BY logsourceid 
ORDER BY EPS_Rates DESC 
LAST 2 HOURS

Diese Abfrage gibt die Spalten Eigene Protokollquellenund EPS_Rates aus Ereignissen aus.

Die Spalte Eigene Protokollquellen gibt Protokollquellennamen zurück und die Spalte EPS_Rates gibt die EPS-Raten für jede Protokollquelle in den letzten zwei Stunden zurück.

Ereignisanzahl und Ereignistypen pro Tag

SELECT
DATEFORMAT( devicetime, 'dd-MM-yyyy') 
AS 'Date of log source',
QIDDESCRIPTION(qid) 
AS 'Description of event', COUNT(*)
FROM events
WHERE devicetime >( now() -(7*24*3600*1000) )
GROUP BY "Date of log source", qid 
LAST 4 DAYS

Diese Abfrage gibt das Datum der Protokollquelle, Beschreibung des Ereignissesund Anzahl der Ereignisspalten aus Ereignissen aus.

Das Datum des Ereignisses, die Beschreibung des Ereignisses und die Anzahl der Ereignisse werden für die letzten vier Tage zurückgegeben.


Datenverkehr zwischen lokalen und fernen Datenflüssen nach Netz überwachen

SELECT sourceip, 
LONG(SUM(sourcebytes+destinationbytes)) 
AS TotalBytes 
FROM flows 
WHERE flowdirection= 'L2R' 
AND NETWORKNAME(sourceip) 
ILIKE 'servers' 
GROUP BY sourceip
ORDER BY TotalBytes

Diese Abfrage gibt die Spalten sourceip und TotalBytes aus.

Die Spalte TotalBytes gibt die Summe der Quellen-und Zielbyte zurück, die von lokal zu fern übertragen werden.


Datenverkehr vom fernen zum lokalen Datenfluss nach Netz überwachen

SELECT sourceip, 
LONG(SUM(sourcebytes+destinationbytes)) 
AS TotalBytes 
FROM flows 
WHERE flowdirection= 'R2L' 
AND NETWORKNAME(sourceip) 
ILIKE 'servers' 
GROUP BY sourceip
ORDER BY TotalBytes

Diese Abfrage gibt die Spalten sourceip und TotalBytes aus.

Die Spalte TotalBytes gibt die Summe der Quellen-und Zielbyte von fern an lokal zurück.

Abfragebeispiele aus dem AQL-Handbuch kopieren

Wenn Sie ein Abfragebeispiel kopieren und einfügen, das einfache oder doppelte Anführungszeichen aus dem AQL-Handbuch enthält, müssen Sie die Anführungszeichen erneut eingeben, um sicherzustellen, dass die Abfrage syntaktisch analysiert wird.