AQL-Abfragen erstellen

Online bearbeiten

Ariel Query Language (AQL) ist eine strukturierte Abfragesprache, mit der Sie Ereignis-und Datenflussdaten aus der Ariel-Datenbank in IBM QRadarabfragen und bearbeiten können.

Informationen zu dieser Task

Weitere Informationen zu AQL finden Sie unter Ariel Query Language.

Tipp:
  • Wenn Sie die Nachricht "Der Cluster ist mit der Verarbeitung anderer Anforderungen beschäftigt und antwortet nicht auf Ihre Abfragen" erhalten, warten Sie einige Minuten und versuchen es erneut.
  • Wenn Sie Visual Builder verwenden, müssen Sie nach Eingabe des Werts die Eingabetaste drücken. Sie können auch die Eingabetaste und die Umschalttaste drücken, um mehrere Werte hinzuzufügen.

Vorgehensweise

  1. Rufen Sie Menü > Data Explorer > Suchenauf.
    Tipp : Sie können auf der Homepage auch auf Suche starten klicken.
  2. Wählen Sie in der Dropdown-Liste der Abfragetypen QRadar (AQL)aus.
  3. Beginnen Sie im Abfragetextfeld mit der Erstellung Ihrer Abfrage im Format des folgenden Beispiels.
    SELECT magnitude, sourceip, destinationip, destinationport, QIDNAME(qid) 
AS 'Event Name', LOGSOURCENAME(logsourceid) 
AS 'Log Source', CONCAT(CATEGORYNAME(highLevelCategory), '.', CATEGORYNAME(category)) 
AS 'Category Name', DATEFORMAT(startTime, 'MMM dd hh:mm a') 
AS 'Start Time' 
FROM events 
WHERE TEXT SEARCH '127.0.0.1' 
LIMIT 1000 
LAST 2 HOURS
    Wichtig: Ein Fehler kann auftreten, wenn eine LIMIT -Klausel nicht in Ihrer Anweisung enthalten ist. Verwenden Sie eine Klausel LIMIT , um die Anzahl der zurückgegebenen Ergebnisse auf eine bestimmte Anzahl zu beschränken. Beispiel: LIMIT 20 , um die Ausgabe auf 20 Ergebnisse zu begrenzen.
    Sie müssen die Klausel LIMIT vor den Klauseln START und STOP platzieren, wie im folgenden Beispiel gezeigt.
    SELECT *
FROM events
LIMIT 20
START '2021-01-01 00:00'
STOP '2021-01-01 01:00'

Die Ergebnisse

Wenn Ihre Abfrage einen Syntaxfehler enthält, wird Abfrage ausführen inaktiviert, bis Sie den Fehler behoben haben. Syntaxfehler sind rot unterstrichen und für jeden Syntaxfehler werden eine QuickInfo mit Details zum Syntaxfehler sowie ein Kontexthelper mit Vorschlägen für die Syntaxkorrektur angezeigt.

Wenn eine Abfrage ausgeführt wird, wird eine Karte 'aktive Abfrage' hinzugefügt. Jede Abfrage läuft 14 Tage nach ihrer Erstellung ab.

Beispiel

Gibt alle Felder aus der Ereignistabelle zurück, die in den letzten 10 Minuten gesendet wurden.

SELECT * FROM events LAST 10 MINUTES

Gibt die sourceip und die destinationip aus der Ereignistabelle zurück, die in den letzten 24 Stunden gesendet wurden.

SELECT sourceip,destinationip FROM events LAST 24 HOURS

Gibt alle Felder aus der Ereignistabelle während dieses Zeitintervalls zurück.

SELECT * FROM events START '2021 01 01 9:00:00' STOP '2021 01 01
            10:20:00'

Gibt alle Felder in der Ereignistabelle zurück, die in den letzten 24 Stunden gesendet wurden, und sortiert die Ausgabe vom höchsten zum niedrigsten Wert.

SELECT * FROM events ORDER BY magnitude DESC LAST 24 HOURS

Gibt alle Felder aus der Ereignistabelle zurück, die den angegebenen Text in der Ausgabe haben.

SELECT * FROM events WHERE TEXT SEARCH 'firewall'

Weitere Informationen finden Sie unter AQL-Beispielabfragen.