HAVING 節
照会で HAVING 節を使用して、GROUP BY 節の後に結果に対してフィルターを適用することにより、特定のデータにさらにフィルターを適用します。
HAVING 節は GROUP BY 節の後に続きます。
照会で HAVING 節を使用する場合に、以下のフィルターを適用できます。
- 等号 (
=) - 不等記号 (
<>) - より小さい記号 (
<) - より大きい記号 (
>) - 以下記号 (
<=) - 以上記号 (
>=) BETWEEN: 2 つの値の間。例: (64 AND 512)LIKE: 大/小文字を区別する突き合わせILIKE: 大/小文字を区別しない突き合わせSUM/AVG: 合計値または平均値MAX/MIN: 最大値または最小値
HAVING 節の例
以下の照会例は、過去 24 時間以内に 4 つを超える IP アドレス (HAVING 'Count of Source IPs' > 4) から VPN イベントを起動したユーザーの結果を示しています。
SELECT username, UNIQUECOUNT(sourceip) AS 'Count of Source IPs'
FROM events
WHERE LOGSOURCENAME(logsourceid) ILIKE '%vpn%'
AND username IS NOT NULL
GROUP BY username
HAVING "Count of Source IPs" > 4
LAST 24 HOURS注: AQL 照会を入力する場合、ストリング比較には単一引用符を使用し、プロパティー値比較には二重引用符を使用します。
以下のクエリ例は、信頼性 (HAVING
credibility > 5) が 5 より大きいイベントの結果を示しています。
SELECT username, sourceip, credibility
FROM events
GROUP BY sourceip
HAVING credibility > 5
LAST 1 HOURS以下の照会は、送信元 IP 別に結果をグループ化していますが、マグニチュードが 5 より大きい (
HAVING magnitude > 5) 結果のみを表示しています。SELECT sourceIP, magnitude
FROM events
GROUP BY sourceIP
HAVING magnitude > 5