フィルター構文
API検索リクエスト( HTTP GET)で返される結果を制限するために、リソースのリストを返すほとんどのAPIエンドポイントは パラメータをサポートしている。 IBM® QRadar® リソースのリストを返すAPIエンドポイントのほとんどは、 filter パラメータをサポートしています。
filter パラメーターの構文は、そのパラメーターをサポートしているすべてのエンドポイントで一貫性があります。 エンドポイントの資料を参照し、フィルター・パラメーターがそれに適用されるかどうかを判別してください。 フィルター構文の制限事項はすべて、そのエンドポイントの説明に記載されています。 照会パラメーターは、送信前に二重 URL エンコードする必要があります。
比較演算子
フィルター比較演算子の表で、フィルター・パラメーターの一部として使用可能な比較演算子について説明します。
| 演算子 | 説明 | フィルター構文の例 |
|---|---|---|
= |
ID と、返される指定値が等しい。 | status=CLOSED であるオフェンスを検索するには、以下の構文を使用します。
|
> |
ID が指定値より大きい。 | credibility > 3 であるオフェンスを検索するには、以下の構文を使用します。
|
< |
Identifierが指定値より小さい。 | magnitude < 9 であるオフェンスを検索するには、以下の構文を使用します。
|
<= |
ID が指定値より小さいか等しい。 | id <= 1004 であるオフェンスを検索するには、以下の構文を使用します。
|
| >= | ID が指定値より大きいか等しい。 |
|
|
ID が指定値と等しくない。 | 以下の例では、5 と等しくないすべての ID がフィルタリングされます。
|
in |
ID が、リスト内の指定値の少なくとも 1 つと等しい。 | 構文: id in (1001,1111,1200)例: |
not in |
ID が、リスト内の指定された値のいずれとも等しくない。 | 構文: id not in (1001,1002,1003):例: |
between … and … |
ID が、2 つの指定値の間にある。 | 構文: id between 0 and 3:例: |
not between … and … |
識別子が指定された2つの値の間にない。 | 構文: id not between 30 and 31:例: |
is null |
ID がヌルである。 | 構文: assigned_to is null:例: |
is not null |
ID がヌルではない。 | 構文: assigned_to is not null:例: |
ヌル値と比較演算子
フィルタリングしたフィールドに「ヌル」値がある場合、比較演算子は以下のように動作します。
ヌル値をテストする最良の方法は、「is null」演算子または「is not null」演算子を使用することです。
論理演算子
副次式で論理演算を実行するには、論理演算子の OR、AND、および NOT を使用します。 以下の表に、フィルターで論理演算子を使用する方法の例を示します。
| 演算子 | 説明 | 例 |
|---|---|---|
or |
2 つの副次式で論理 OR 演算を実行します。 副次式は比較ノードまたは他の論理ノードである場合があります。 | assigned_toはnullまたはid =
111ではない場合:
|
and |
2 つの副次式で論理 AND 演算を実行します。 副次式は比較ノードまたは他の論理ノードである場合があります。 | assigned_to is not null AND id =
111 :
|
not |
副次式で論理 NOT 演算を実行します。 | protected =true and not id in
(111,112,113)
|
比較のための JSON フィールドの指定
以下の表では、フィルターの比較演算子で使用する際の JSON フィールドの指定方法について説明します。
| JSON フィールドの例 | 説明 | 例 |
|---|---|---|
|
返されるオブジェクト内のフィールドにフィルターを直接適用する場合、そのフィールドは名前で指定します。 |
|
|
サブオブジェクト内にネストされているフィールドにフィルターを適用する場合、括弧を使用して内部フィールドを指定します。 |
|
|
ストリング、数値、ブールなど、フィールド・ラベルが存在しない単純な JSON タイプの場合は、. 演算子を使用します。 |
|
フィルターでのストリング値および数値の指定
非英数字の値があるストリングをフィルタリングする場合、ターゲット・ストリングを引用符で囲む必要があります。 数値をフィルタリングする場合、必要に応じて以下の特殊な値を使用できます。
- 正符号 (+) または負符号 (-) で始まる。
- 小数点を含むか、小数点で始まる。
- e 表記による指数を含む。
CONTAINS 演算子の使用による複合オブジェクトのフィルタリング
複合オブジェクトをフィルタリングするには、CONTAINS 演算子を使用します。 CONTAINS 演算子を使用して、リストやマップの内容をテストします。 演算子の左側は、標準形式の ID (例えば x(y(z))) です。 ID は、リスト、マップ、またはコレクションであるエレメントを指す必要があります。 演算子の右側は、リスト内のオブジェクトがどのように一致する必要があるかを指定する式です。 CONTAINS 演算子の使用には、以下の 2 つの基本的なユース・ケースがあります。
- 調査対象のリストに、ストリングや数値のような単純エレメントが含まれている。
- リストに複合オブジェクトが含まれている。
- 単純タイプを含むリスト
- ストリングや数値などの単純タイプを含むリストの場合、式は同じタイプの値です。 単一比較の場合、括弧は必要ありません。
- 複合オブジェクトを含むリスト
複合オブジェクトを含むリストの場合、式は、リスト内のオブジェクトに対する完全なフィルター式です。 このサブフィルター式では、他のすべてのフィルターと同じ構文を使用します。 サブフィルターで任意の演算子を使用して、元のリスト内のサブリストをテストできます。 この式内の ID は、CONTAINS 演算子の作用対象であるリスト内のオブジェクトに関連します。 複合サブフィルター式には、括弧が必要です。
LIKE 演算子
ストリングの部分的一致を検索するには、LIKE 演算子を使用します。
LIKE 演算子では、形式として identifier like "expression" を使用します。 式を囲む引用符は必須です。 単一引用符および二重引用符がサポートされています。 LIKE キーワードでは、大/小文字を区別した付き合わせを行います。
以下のワイルドカード文字がサポートされています。 ストリングでワイルドカード文字を使用する場合は、その文字をエスケープする必要があります。
| ワイルドカード文字 | 説明 |
|---|---|
| % | ゼロ以上の文字のストリングの照合を行います。 |
| _ | 任意の単一文字の照合を行います。 |
GET /path/to/api
[
{
"hostname": "server.domain1"
},
{
"hostname": "server.domain2"
},
{
"hostname": "SERVER.domain"
},
{
"hostname": "server.DOMAIN"
}
]
同一の式内で複数のワイルドカード文字を組み合わせることができます。 例えば、domain1またはdomain2にあるサーバーを検索するには、次の式hostname
LIKE "%.domain_"を使用します。
GET /path/to/api?filter=hostname%20LIKE%20%22%25.domain_%22
[
{
"hostname": "server.domain1"
},
{
"hostname": "server.domain2"
}
]
下線 (_) に一致する末尾文字がないため、SERVER.domain は返されないことに注意してください。
ILIKE 演算子
大/小文字を区別しない部分ストリングの一致を検索するには、ILIKE 演算子を使用します。
GET /path/to/api
[
{
"hostname": "server.domain1"
},
{
"hostname": "server.domain2"
},
{
"hostname": "SERVER.domain"
},
{
"hostname": "server.DOMAIN"
}
] hostname ILIKE "server.domain" という式でフィルターに掛けると、以下のデータ・コレクションが生成されます。GET /path/to/api?filter=hostname%20ILIKE%20%22server.domain%22'
[
{
"hostname": "SERVER.domain"
},
{
"hostname": "server.DOMAIN"
}
]