Select 문

SELECT문을 사용하여 이벤트 또는 플로우 데이터를 검색하는 데 사용하는 기준을 정의할 수 있습니다.

SELECT문을 사용하여 조회에서 출력할 컬럼(필드)을 정의하십시오. SELECT문을 사용하여 컬럼 별명으로 AQL 함수의 데이터를 출력할 수 있습니다. 일반적으로 SELECT문에서 이벤트 또는 플로우를 참조하지만 GLOBALVIEW 데이터베이스 또는 액세스할 수 있는 기타 데이터베이스에서 SELECT문을 사용할 수도 있습니다.

SELECT문을 사용하여 조회 출력에 표시할 컬럼을 선택하십시오.

SELECT문은 다음 요소를 포함할 수 있습니다.
  • 이벤트 또는 플로우 데이터베이스의 필드
  • 이벤트 또는 플로우 데이터베이스의 사용자 정의 특성
  • 리턴할 특정 데이터를 나타내기 위해 필드와 함께 사용하는 함수입니다.

    예를 들어, ASSETHOSTNAME(sourceip) 함수는 특정 시간에 소스 IP 주소별로 자산의 호스트 이름을 검색합니다.

모든 컬럼을 표시하려면 별표(*)를 사용하십시오.

필드 이름과 SELECTFROM문은 대소문자를 구분하지 않습니다. 예를 들어, 다음 조회는 여러 케이스를 사용하여 구문 분석합니다.

select Sourceip, DATEFORMAT(starTTime,'YYYY-MM-dd HH:mm') as startTime from events WHERE username is noT Null GROUP BY sourceip ordER BY starttime lAsT 3 houRS


다음 예제는 SELECT문을 사용하는 조회입니다.

  • SELECT * FROM flows

    플로우 데이터베이스에서 모든 칼럼을 리턴합니다.

  • SELECT sourceip, destinationip FROM events

    이벤트 데이터베이스에서 sourceipdestinationip 컬럼만 리턴합니다.

  • SELECT sourceip, * FROM flows

    먼저 sourceip 컬럼을 리턴하고 그 다음에 플로우 데이터베이스의 모든 컬럼을 리턴합니다.

  • SELECT sourceip AS 'MY Source IPs' FROM events

    sourceip 컬럼을 별명으로 리턴하거나 이름 변경된 컬럼 'MY Source IPs'로 리턴합니다.

  • SELECT ASSETHOSTNAME(sourceip) AS 'Host Name', sourceip FROM events

    ASSETHOSTNAME 함수의 출력을 컬럼 이름 Host Name으로 리턴하고 이벤트 데이터베이스의 sourceip 컬럼을 리턴합니다.