Having Clause

Verwenden Sie die HAVING-Klausel in einer Abfrage, um weitere Filter auf bestimmte Daten anzuwenden, indem Sie Filter auf die Ergebnisse nach der GROUP BY-Klausel anwenden.

Die Klausel HAVING folgt auf die Klausel GROUP BY.

Sie können die folgenden Filter anwenden, wenn Sie eine Klausel HAVING in einer Abfrage verwenden:

  • Gleichheitszeichen (=)
  • Ungleich Symbol (<>)
  • Kleiner-als-Zeichen (<)
  • Größer-als-Zeichen (>)
  • Kleiner oder gleich dem Symbol (<=)
  • Größer-gleich dem Symbol (>=)
  • BETWEEN zwischen zwei Werten, z. B. 64 AND 512
  • LIKE -Abgleich mit Beachtung der Groß-/Kleinschreibung
  • ILIKE -Abgleich ohne Beachtung der Groß-/Kleinschreibung
  • SUM/AVG Gesamt-oder Durchschnittswerte
  • Maximale oder minimale MAX/MIN -Werte

Beispiele für HAVING-Klauseln

Das folgende Abfragebeispiel zeigt Ergebnisse für Benutzer, die in den letzten 24 Stunden VPN-Ereignisse von mehr als vier IP-Adressen (HAVING 'Count of Source IPs' > 4) ausgelöst haben.

SELECT username, UNIQUECOUNT(sourceip) AS 'Count of Source IPs' 
FROM events
WHERE LOGSOURCENAME(logsourceid) ILIKE '%vpn%' 
AND username IS NOT NULL
GROUP BY username 
HAVING "Count of Source IPs" > 4 
LAST 24 HOURS
Hinweis: Wenn Sie eine AQL-Abfrage eingeben, verwenden Sie einfache Anführungszeichen für einen Zeichenfolgevergleich und doppelte Anführungszeichen für einen Eigenschaftswertvergleich.

Das folgende Abfragebeispiel zeigt Ergebnisse für Ereignisse, bei denen die Zuverlässigkeit (HAVING credibility > 5) größer als fünf ist.

SELECT username, sourceip, credibility 
FROM events
GROUP BY sourceip
HAVING credibility > 5 
LAST 1 HOURS

Die folgende Abfrage gruppiert Ergebnisse nach Quellen-IP, zeigt jedoch nur Ergebnisse an, bei denen das Ausmaß (HAVING magnitude > 5) größer als fünf ist.
SELECT sourceIP, magnitude
FROM events 
GROUP BY sourceIP
HAVING magnitude > 5