Comillas

En una consulta AQL, los términos de consulta y las columnas consultadas a veces requieren comillas simples o dobles para que QRadar® pueda analizar la consulta.

La tabla siguiente define cuándo utilizar comillas simples o dobles.

Tipo de comillas Cuándo usarlo

Único

Tabla 1. Tipo de comillas para utilizar en una consulta
Tipo de comillas	Cuándo usarlo
Único	Para especificar cualquier serie VARCHAR del American National Standards Institute (ANSI) en SQL como, por ejemplo, parámetros para un operador LIKE o igual (=), o cualquier operador que espere una serie VARCHAR. Ejemplos: `SELECT * from events WHERE sourceip = '192.0.2.0'` `SELECT * from events WHERE userName LIKE '%james%'` `SELECT * from events WHERE userName = 'james'` `SELECT * FROM events WHERE INCIDR('10.45.225.14', sourceip)` `SELECT * from events WHERE TEXT SEARCH 'my search term'`
Doble	Utilice comillas dobles para los siguientes elementos de consulta para especificar nombres de tabla y columna que contengan espacios o caracteres no ASCII, y para especificar nombres de propiedad personalizados que contengan espacios o caracteres no ASCII. Ejemplos: `SELECT "username column" AS 'User name' FROM events` `SELECT "My custom property name" AS 'My new alias' FROM events` Utilice comillas dobles para definir el nombre de un objeto del sistema como, por ejemplo, un campo, una función, una base de datos o un alias existente. Ejemplo: `SELECT "Application Category", sourceIP, EventCount AS 'Count of Events' FROM events GROUP BY "Count of Events"` Utilice comillas dobles para especificar un alias existente que tenga un espacio cuando utilice una cláusula WHERE, GROUP BY u ORDER BY Ejemplos: `SELECT sourceIP, destinationIP, sourcePort, EventCount AS 'Event Count', category, hasidentity, username, payload, UtF8(payLoad), QiD, QiDnAmE(qid) FROM events WHERE (NOT (sourcePort <= 3003 OR hasidentity = 'True')) AND (qid = 5000023 OR qid = 5000193) AND (INCIDR('192.0.2.0/4', sourceIP) OR NOT INCIDR('192.0.2.0/4', sourceIP)) ORDER BY "Event Count" DESC LAST 60 MINUTES` `SELECT sourceIP, destinationIP, sourcePort, EventCount AS 'Event Count', category, hasidentity, username, payload, UtF8(payLoad), QiD, QiDnAmE(qid) FROM events ORDER BY "Event Count" DESC LAST 60 MINUTES`
Simple o doble	Utilice comillas simples para especificar un alias para una definición de columna en una consulta. Ejemplo: `SELECT username AS 'Name of User', sourceip AS 'IP Source' FROM events` Utilice comillas dobles para especificar un alias existente con un espacio cuando utilice una cláusula WHERE, GROUP BY o ORDER BY. Ejemplo: `SELECT sourceIP AS 'Source IP Address', EventCount AS 'Event Count', QiD, QiDnAmE(qid) FROM events GROUP BY "Source IP Address" LAST 60 MINUTES`

Para especificar cualquier serie VARCHAR del American National Standards Institute (ANSI) en SQL como, por ejemplo, parámetros para un operador LIKE o igual (=), o cualquier operador que espere una serie VARCHAR.

Ejemplos:

SELECT * from events WHERE sourceip = '192.0.2.0'

SELECT * from events WHERE userName LIKE '%james%'

SELECT * from events WHERE userName = 'james'

SELECT * FROM events 
WHERE INCIDR('10.45.225.14', sourceip)

SELECT * from events WHERE TEXT SEARCH 'my search term'

Doble

Utilice comillas dobles para los siguientes elementos de consulta para especificar nombres de tabla y columna que contengan espacios o caracteres no ASCII, y para especificar nombres de propiedad personalizados que contengan espacios o caracteres no ASCII.

Ejemplos:

SELECT "username column" AS 'User name' FROM events

SELECT "My custom property name" 
AS 'My new alias' FROM events

Utilice comillas dobles para definir el nombre de un objeto del sistema como, por ejemplo, un campo, una función, una base de datos o un alias existente.

Ejemplo:

SELECT "Application Category", sourceIP, 
EventCount AS 'Count of Events' 
FROM events GROUP BY "Count of Events"

Utilice comillas dobles para especificar un alias existente que tenga un espacio cuando utilice una cláusula WHERE, GROUP BY u ORDER BY

Ejemplos:

SELECT sourceIP, destinationIP, sourcePort, 
EventCount AS 'Event Count', 
category, hasidentity, username, payload, UtF8(payLoad), 
QiD, QiDnAmE(qid) FROM events 
WHERE (NOT (sourcePort <= 3003 OR hasidentity = 'True')) 
AND (qid = 5000023 OR qid = 5000193) 
AND (INCIDR('192.0.2.0/4', sourceIP) 
OR NOT INCIDR('192.0.2.0/4', sourceIP)) ORDER BY "Event Count" 
DESC LAST 60 MINUTES

SELECT sourceIP, destinationIP, sourcePort, EventCount 
AS 'Event Count', 
category, hasidentity, username, payload, UtF8(payLoad), 
QiD, QiDnAmE(qid) 
FROM events ORDER BY "Event Count" 
DESC LAST 60 MINUTES

Simple o doble

Utilice comillas simples para especificar un alias para una definición de columna en una consulta.

Ejemplo:

SELECT username AS 'Name of User', sourceip 
AS 'IP Source' FROM events

Utilice comillas dobles para especificar un alias existente con un espacio cuando utilice una cláusula WHERE, GROUP BY o ORDER BY.

Ejemplo:

SELECT sourceIP AS 'Source IP Address', 
EventCount AS 'Event Count', QiD, QiDnAmE(qid)
FROM events
GROUP BY "Source IP Address"
LAST 60 MINUTES

Copia de ejemplos de consulta desde la guía de AQL

Si copia y pega un ejemplo de consulta que contiene comillas simples o dobles de la Guía de AQL, debe volver a escribir las comillas para asegurarse de que la consulta analiza.