Beispiele für AQL-Abfragen
Verwenden Sie AQL-Abfragen (Ariel Query Language) zum Abrufen von Daten aus der Ariel -Datenbank auf der Basis bestimmter Kriterien.
Verwenden Sie die folgende Abfragesyntax und halten Sie sich an die Klauselreihenfolge, wenn Sie eine AQL-Abfrage erstellen:
[SELECT *, column_name, column_name]
[FROM table_name]
[WHERE search clauses]
[GROUP BY column_reference*]
[HAVING clause]
[ORDER BY column_reference*]
[LIMIT numeric_value]
[TIMEFRAME]Hinweis: Wenn Sie eine
GROUP BY -oder ORDER BY -Klausel zum Sortieren von Informationen verwenden, können Sie nur von Ihrer vorhandenen SELECT -Anweisung auf column_names verweisen.Hinweis Wenn der Wert
TIMEFRAME nicht angegeben ist, wird die Abfrage standardmäßig für die letzten fünf Minuten von Ariel-Daten ausgeführt.Denken Sie daran, einfache Anführungszeichen zu verwenden, um Literalwerte oder Variablen anzugeben, und verwenden Sie Anführungszeichen für Spaltennamen, die Leerzeichen oder Nicht-ASCII-Zeichen enthalten:
- Hochkommas
- Verwenden Sie einfache Anführungszeichen, wenn Sie auf den Anfang und das Ende einer Zeichenfolge verweisen, wie in den folgenden Beispielen gezeigt:
- Anführungszeichen
- Verwenden Sie Anführungszeichen, wenn Spaltennamen Leerzeichen oder Nicht-ASCII-Zeichen enthalten, wie in den folgenden Beispielen gezeigt:
Einfache AQL-Abfragen
| Grundlegende AQL-Befehle | Kommentare |
|---|---|
|
Gibt alle Felder aus der Ereignistabelle zurück, die in den letzten 10 Minuten gesendet wurden. |
|
Gibt die sourceip und die destinationip aus der Ereignistabelle zurück, die in den letzten 24 Stunden gesendet wurden. |
|
Gibt alle Felder aus der Ereignistabelle während dieses Zeitintervalls zurück. |
|
Gibt alle Felder in der Ereignistabelle während der letzten 24 Stunden zurück, wobei die Ausgabe auf fünf Ergebnisse begrenzt ist |
|
Gibt alle Felder in der Ereignistabelle zurück, die in den letzten 24 Stunden gesendet wurden, und sortiert die Ausgabe vom höchsten zum niedrigsten Wert. |
|
Gibt alle Felder in der Ereignistabelle zurück, deren Ausmaß kleiner als drei der letzten 24 Stunden ist. |
|
Gibt alle Felder in der Ereignistabelle zurück, die die angegebene Quellen-IP und Ziel-IP innerhalb des angegebenen Zeitraums enthalten. |
|
Gibt alle Felder in der Ereignistabelle zurück, bei denen die Quellen-IP-Adresse im angegebenen CIDR-IP-Bereich liegt. |
|
Gibt alle Felder in der Ereignistabelle zurück, in denen der Benutzername die Beispielzeichenfolge enthält. Die Prozentzeichen (%) geben an, dass der Benutzername mit einer Zeichenfolge von null oder mehr Zeichen übereinstimmen kann. |
|
Gibt alle Felder in der Ereignistabelle zurück, in denen der Benutzername die Beispielzeichenfolge enthält und bei denen die Groß-/Kleinschreibung nicht beachtet werden muss. Die Prozentzeichen (%) geben an, dass der Benutzername mit einer Zeichenfolge von null oder mehr Zeichen übereinstimmen kann. |
|
Gibt die Felder sourceip, categoryund credibility aus der Ereignistabelle mit bestimmten Bewertungsstufen, einer bestimmten Kategorie und einer bestimmten Zuverlässigkeitsstufe zurück Die Klausel AND lässt mehrere Zeichenfolgen von Ergebnistypen zu, die Sie verwenden möchten. |
|
Gibt alle Felder aus der Ereignistabelle zurück, die den angegebenen Text in der Ausgabe haben. |
|
Gibt alle Felder in der Ereignistabelle zurück, bei denen der Wert username nicht null ist. |