Consultas AQL de ejemplo

Utilice las consultas AQL (Ariel Query Language) para recuperar datos de la base de datos de Ariel basándose en criterios específicos.

Utilice la sintaxis de consulta siguiente y siga el orden de cláusula cuando cree una consulta AQL:
[SELECT *, column_name, column_name]
[FROM table_name]
[WHERE search clauses]
[GROUP BY column_reference*]
[HAVING clause]
[ORDER BY column_reference*]
[LIMIT numeric_value] 
[TIMEFRAME]
Nota: Cuando utilice una cláusula GROUP BY o ORDER BY para ordenar la información, sólo puede hacer referencia a column_names desde la sentencia SELECT existente.
Nota: De forma predeterminada, si no se especifica el valor TIMEFRAME , la consulta se ejecuta en los últimos cinco minutos de los datos de Ariel.
Recuerde utilizar comillas simples para especificar valores literales o variables y utilizar comillas dobles para nombres de columna que contengan espacios o caracteres no ASCII:
Apóstrofos
Utilice comillas simples cuando haga referencia al principio y al final de una serie, tal como se muestra en estos ejemplos:
username LIKE '%User%'
sourceCIDR= '192.0.2.0'
TEXT SEARCH = 'VPN Authenticated user'
QIDNAME(qid) AS 'Event Name'
Comillas
Utilice comillas dobles cuando los nombres de columna contengan espacios o caracteres no ASCII, tal como se muestra en estos ejemplos:
Nombres de propiedades personalizadas con espacios como, por ejemplo, "ID de seguridad de cuenta".
Valores que tienen caracteres no ASCII.

Consultas AQL simples

Tabla 1. Consultas AQL simples
Mandatos AQL básicos Comentarios 
SELECT * FROM events LAST 10 MINUTES
 Devuelve todos los campos procedentes de la tabla de sucesos que se han enviado durante los últimos 10 minutos. 
SELECT sourceip,destinationip FROM events 
LAST 24 HOURS
 Devuelve sourceip y destinationip de la tabla de sucesos que se han enviado en las últimas 24 horas. 
SELECT * FROM events START '2017 01 01 9:00:00' 
STOP '2017 01 01 10:20:00'
 Devuelve todos los campos de la tabla de sucesos durante el intervalo de tiempo. 
SELECT * FROM events limit 5 LAST 24 HOURS
 Devuelve todos los campos de la tabla de sucesos durante las últimas 24 horas, con la salida limitada a cinco resultados. 
SELECT * FROM events ORDER BY magnitude DESC 
LAST 24 HOURS
 Devuelve todos los campos de la tabla de sucesos enviados durante las últimas 24 horas, y clasifica la salida de magnitud superior a inferior. 
SELECT * FROM events WHERE magnitude >= 3 
LAST 24 HOURS
 Devuelve todos los campos de la tabla de sucesos que tienen una magnitud inferior a tres de las últimas 24 horas. 
SELECT * FROM events WHERE sourceip = '192.0.2.0' 
AND destinationip = '198.51.100.0' START '2017 01 01 
9:00:00' STOP '2017 01 01 10:20:00'
 Devuelve todos los campos de la tabla de sucesos que tienen la IP de origen y la IP de destino especificadas dentro del periodo de tiempo especificado. 
SELECT * FROM events WHERE INCIDR('192.0.2.0/24',
sourceip)
 Devuelve todos los campos de la tabla de sucesos donde la dirección IP de origen está dentro del rango de IP de CIDR especificado. 
SELECT * FROM events WHERE username LIKE '%roul%'
 Devuelve todos los campos de la tabla de sucesos donde el nombre de usuario contiene la serie de ejemplo. Los símbolos de porcentaje (%) indican que el nombre de usuario puede coincidir con una serie de cero o más caracteres. 
SELECT * FROM events WHERE username ILIKE '%ROUL%'
 Devuelve todos los campos de la tabla de sucesos donde el nombre de usuario contiene la serie de ejemplo y los resultados no distinguen entre mayúsculas y minúsculas. Los símbolos de porcentaje (%) indican que el nombre de usuario puede coincidir con una serie de cero o más caracteres. 
SELECT sourceip,category,credibility FROM events 
WHERE (severity > 3 AND category = 5018)OR 
(severity < 3 AND credibility > 8)
 Devuelve los campos sourceip, categoryy credibility de la tabla de sucesos con niveles de gravedad específicos, una categoría específica y un nivel de credibilidad específico. La cláusula AND permite varias series de tipos de resultados que desea tener. 
SELECT * FROM events WHERE TEXT SEARCH 'firewall'
 Devuelve todos los campos de la tabla de sucesos que tienen el texto especificado en la salida. 
SELECT * FROM events WHERE username ISNOT NULL
 Devuelve todos los campos de la tabla de sucesos donde el valor username no es nulo.