WHERE절
WHERE절을 사용하여 AQL 조회를 필터링합니다. WHERE절은
조회에 적용되는 필터 기준에 대해 설명하고, 지정된 조건을 충족하는 이벤트 또는
플로우만 채택하도록 결과 보기를 필터링합니다.
WHERE절을 적용하여 검색 결과를 필터링하는 AQL 조회의 조건을 검색 기준에 추가할 수 있습니다.검색 조건은 함께 테스트를 수행하는 논리 연산자와 비교 연산자의 결합입니다. 테스트를 패스한 입력 행만 결과에 포함됩니다.
조회에서WHERE절을 사용할 때 다음 필터를
적용할 수 있습니다.- 등호(
=) - 부등호(
<>) - 미만 기호(
<) - 초과 기호(
>) - 이하 기호(
<=) - 이상 기호(
>=) BETWEEN두 값 사이(예: 64 AND 512)LIKE대소문자 구분 일치ILIKE대소문자 비구분 일치IS NULL비어 있음AND / OR조건 결합 또는 두 조건 중 하나TEXT SEARCH텍스트 문자열 일치
WHERE절의 예제
다음 조회 예제는 심각도 레벨이 9보다 크고 특정 카테고리에서 가져온 이벤트를 보여줍니다.
SELECT sourceIP, category, credibility
FROM events
WHERE
severity > 9
AND
category = 5013
소괄호를 사용하여 평가 순서를 변경하십시오. 소괄호로 묶인 검색 조건이 먼저 평가됩니다.
SELECT sourceIP, category, credibility
FROM events
WHERE
(severity > 9 AND category = 5013)
OR
(severity < 5 AND credibility > 8)텍스트 'typot'가 있는 이벤트 데이터베이스의 이벤트를
리턴하십시오.
SELECT QIDNAME(qid)
AS EventName,
* FROM events
WHERE
TEXT SEARCH 'typot'다음 조회는 상태가 로그 소스 이름에 포함된 이벤트 데이터베이스의 이벤트를 출력합니다.
SELECT logsourceid, LOGSOURCEGROUPNAME(logsourceid), LOGSOURCENAME(logsourceid)
FROM events
WHERE LOGSOURCENAME(logsourceid)
ILIKE '%%health%%'다음 조회는 디바이스 유형 ID가 11(Linux Server DSM)인 이벤트와 QID가 Cron 상태의 ID인 44250002와 동일한 이벤트를 출력합니다.
SELECT * FROM events
WHERE deviceType= '11'
AND qid= '44250002'