Génération de requêtes AQL

Editer en ligne

Le langage AQL (Ariel Query Language) est un langage de requête structuré que vous utilisez pour interroger et manipuler les données d'événement et de flux de la base de données Ariel dans IBM QRadar.

A propos de cette tâche

Pour en savoir plus sur AQL, voir Ariel Query Language.

Astuce :

Si vous recevez le message " Le cluster est occupé à traiter d'autres demandes et ne répond pas à vos requêtes, patientez quelques minutes et réessayez.
Lorsque vous utilisez le générateur visuel, vous devez appuyer sur Entrée après avoir tapé la valeur. Vous pouvez également appuyer sur Entrée et Maj pour ajouter plusieurs valeurs.

Procédure

Accédez à Menu > Data Explorer > Rechercher.

Astuce: Vous pouvez également cliquer sur Commencer la recherche dans la page d'accueil.
Dans la liste déroulante des types de requête, sélectionnez QRadar (AQL).
Dans la zone de texte de la requête, commencez à construire votre requête au format de l'exemple suivant.
```
SELECT magnitude, sourceip, destinationip, destinationport, QIDNAME(qid) 
AS 'Event Name', LOGSOURCENAME(logsourceid) 
AS 'Log Source', CONCAT(CATEGORYNAME(highLevelCategory), '.', CATEGORYNAME(category)) 
AS 'Category Name', DATEFORMAT(startTime, 'MMM dd hh:mm a') 
AS 'Start Time' 
FROM events 
WHERE TEXT SEARCH '127.0.0.1' 
LIMIT 1000 
LAST 2 HOURS
```
Important: Une erreur peut se produire lorsqu'une clause LIMIT n'est pas incluse dans votre instruction. Utilisez une clause LIMIT pour limiter le nombre de résultats renvoyés à un nombre spécifique. Par exemple, LIMIT 20 pour limiter la sortie à 20 résultats.
Vous devez placer la clause LIMIT avant les clauses START et STOP , comme dans l'exemple suivant.
```
SELECT *
FROM events
LIMIT 20
START '2021-01-01 00:00'
STOP '2021-01-01 01:00'
```

Les résultats

En cas d'erreur de syntaxe dans votre requête, l'option Exécuter la requête est désactivée jusqu'à ce que vous résolviez l'erreur. Chaque erreur de syntaxe est mise en évidence avec un trait de soulignement rouge, une infobulle contenant des détails sur l'erreur de syntaxe et une aide contextuelle donnant des suggestions de correction de la syntaxe.

Lors de l'exécution d'une requête, une carte 'requête active query' est ajoutée. Chaque requête expire 14 jours après sa création.

Exemple

Renvoie toutes les zones de la table des événements qui ont été envoyées au cours des 10 dernières minutes.

SELECT * FROM events LAST 10 MINUTES

Renvoie sourceip et destinationip à partir de la table des événements qui ont été envoyés au cours des dernières 24 heures.

SELECT sourceip,destinationip FROM events LAST 24 HOURS

Renvoie tous les champs de la table des événements pendant cet intervalle de temps.

SELECT * FROM events START '2021 01 01 9:00:00' STOP '2021 01 01
            10:20:00'

Renvoie toutes les zones de la table des événements envoyés au cours des dernières 24 heures, en triant le résultat de la plus grande à la plus petite magnitude.

SELECT * FROM events ORDER BY magnitude DESC LAST 24 HOURS

Renvoie toutes les zones de la table des événements qui ont le texte spécifié dans la sortie.

SELECT * FROM events WHERE TEXT SEARCH 'firewall'

Pour plus d'informations, voir Exemples de requêtes AQL.