引用符

AQL 照会では、 QRadar® が照会を構文解析できるように、照会用語と照会対象の列に単一引用符または二重引用符が必要になることがあります。

以下の表に、単一引用符と二重引用符をいつ使用するかを示します。

引用符のタイプ使用する場合

片方

表 1. 照会で使用する引用符のタイプ
引用符のタイプ	使用する場合
片方	SQL に対して米国規格協会 (ANSI) の VARCHAR ストリング (LIKE 演算子のパラメーター、等号 (=) 演算子のパラメーター、VARCHAR ストリングを必要とする演算子のパラメーターなど) を指定する場合。例: `SELECT * from events WHERE sourceip = '192.0.2.0'` `SELECT * from events WHERE userName LIKE '%james%'` `SELECT * from events WHERE userName = 'james'` `SELECT * FROM events WHERE INCIDR('10.45.225.14', sourceip)` `SELECT * from events WHERE TEXT SEARCH 'my search term'`
二重	スペースや非 ASCII 文字が含まれている表の名前と列の名前を指定する場合、およびスペースや非 ASCII 文字が含まれているカスタム・プロパティーを指定する場合に、以下の照会項目で二重引用符を使用します。例: `SELECT "username column" AS 'User name' FROM events` `SELECT "My custom property name" AS 'My new alias' FROM events` フィールド、関数、データベース、既存の別名などのシステム・オブジェクトの名前を定義する場合に、二重引用符を使用します。例: `SELECT "Application Category", sourceIP, EventCount AS 'Count of Events' FROM events GROUP BY "Count of Events"` WHERE、GROUP BY、または ORDER BY 節を使用する際に、スペースを含む既存の別名を指定する場合に二重引用符を使用します。例: `SELECT sourceIP, destinationIP, sourcePort, EventCount AS 'Event Count', category, hasidentity, username, payload, UtF8(payLoad), QiD, QiDnAmE(qid) FROM events WHERE (NOT (sourcePort <= 3003 OR hasidentity = 'True')) AND (qid = 5000023 OR qid = 5000193) AND (INCIDR('192.0.2.0/4', sourceIP) OR NOT INCIDR('192.0.2.0/4', sourceIP)) ORDER BY "Event Count" DESC LAST 60 MINUTES` `SELECT sourceIP, destinationIP, sourcePort, EventCount AS 'Event Count', category, hasidentity, username, payload, UtF8(payLoad), QiD, QiDnAmE(qid) FROM events ORDER BY "Event Count" DESC LAST 60 MINUTES`
単一または二重	照会で列定義の別名を指定するには単一引用符を使用します。例: `SELECT username AS 'Name of User', sourceip AS 'IP Source' FROM events` WHERE、GROUP BY、または ORDER BY 節を使用する際に、スペースを含む既存の別名を指定には二重引用符を使用します。例: `SELECT sourceIP AS 'Source IP Address', EventCount AS 'Event Count', QiD, QiDnAmE(qid) FROM events GROUP BY "Source IP Address" LAST 60 MINUTES`

SQL に対して米国規格協会 (ANSI) の VARCHAR ストリング (LIKE 演算子のパラメーター、等号 (=) 演算子のパラメーター、VARCHAR ストリングを必要とする演算子のパラメーターなど) を指定する場合。

例:

SELECT * from events WHERE sourceip = '192.0.2.0'

SELECT * from events WHERE userName LIKE '%james%'

SELECT * from events WHERE userName = 'james'

SELECT * FROM events 
WHERE INCIDR('10.45.225.14', sourceip)

SELECT * from events WHERE TEXT SEARCH 'my search term'

二重

スペースや非 ASCII 文字が含まれている表の名前と列の名前を指定する場合、およびスペースや非 ASCII 文字が含まれているカスタム・プロパティーを指定する場合に、以下の照会項目で二重引用符を使用します。

例:

SELECT "username column" AS 'User name' FROM events

SELECT "My custom property name" 
AS 'My new alias' FROM events

フィールド、関数、データベース、既存の別名などのシステム・オブジェクトの名前を定義する場合に、二重引用符を使用します。

例:

SELECT "Application Category", sourceIP, 
EventCount AS 'Count of Events' 
FROM events GROUP BY "Count of Events"

WHERE、GROUP BY、または ORDER BY 節を使用する際に、スペースを含む既存の別名を指定する場合に二重引用符を使用します。

例:

SELECT sourceIP, destinationIP, sourcePort, 
EventCount AS 'Event Count', 
category, hasidentity, username, payload, UtF8(payLoad), 
QiD, QiDnAmE(qid) FROM events 
WHERE (NOT (sourcePort <= 3003 OR hasidentity = 'True')) 
AND (qid = 5000023 OR qid = 5000193) 
AND (INCIDR('192.0.2.0/4', sourceIP) 
OR NOT INCIDR('192.0.2.0/4', sourceIP)) ORDER BY "Event Count" 
DESC LAST 60 MINUTES

SELECT sourceIP, destinationIP, sourcePort, EventCount 
AS 'Event Count', 
category, hasidentity, username, payload, UtF8(payLoad), 
QiD, QiDnAmE(qid) 
FROM events ORDER BY "Event Count" 
DESC LAST 60 MINUTES

単一または二重

照会で列定義の別名を指定するには単一引用符を使用します。

例:

SELECT username AS 'Name of User', sourceip 
AS 'IP Source' FROM events

WHERE、GROUP BY、または ORDER BY 節を使用する際に、スペースを含む既存の別名を指定には二重引用符を使用します。

例:

SELECT sourceIP AS 'Source IP Address', 
EventCount AS 'Event Count', QiD, QiDnAmE(qid)
FROM events
GROUP BY "Source IP Address"
LAST 60 MINUTES

AQL ガイドからの照会例のコピー

AQL ガイドから照会引用符または二重引用符が含まれる照会の例をコピーして貼り付けるときは、照会が確実に解析されるように、引用符を再入力する必要があります。