Советы по созданию запросов AQL для диаграмм сводной панели

Советы, помогающие создавать запросы AQL и диаграммы сводных панелей, облегчать работу с алиасами, форматами даты и времени и функциями поиска преобразований.

  • Любой оператор AQL, который не содержит критериев времени, например, start, stop или last, выполняется в течение всего 5 минут.
  • Не используйте функцию поиска преобразования в операторе IN в условии WHERE. Оператор IN задает несколько значений в условии WHERE, но может вызвать проблемы производительности при выполнении запроса. Например, следующий запрос может вызвать проблемы, связанные с производительностью:
    Where logsourcetypename(deviceType) IN ('a','b')
  • Всегда используйте алиасы, чтобы имена полей не различались от одной версии QRadar к другой. Например, в следующем запросе Active Offense Sum является алиасом для поля SUM_Active Offense Count. 
    select ("SUM_Active Offense Count" / 2)  as 'Active Offense Sum',
("SUM_Dormant Offense Count" / 2)  as 'Dormant Offense Sum',
"Time" * 1000 as 'sTime'
from GLOBALVIEW('Offenses Over Time','NORMAL')
order by "Time" desc
last 2 days
  • Используйте формат времени в миллисекундах в поле Время в запросе AQL, например, starttime-starttime%60000.
  • Используйте в запросах нужные форматы даты и года, особенно в GLOBALVIEW. Даты не добавляются автоматически; например, используйте StartTime, 'YYYY-MM-dd HH:mm'.
  • Перейдите на вкладку Операции журнала или Сетевые операции и запустите поиск AQL, чтобы получить автозавершение и передачу сообщений. Если вы удовлетворены полученными результатами, то скопируйте и вставьте оператор в раздел Запрос в IBM® QRadar Pulse. Источник GLOBALVIEW можно использовать только в вызовах API REST.
  • Перейдите в IBM QRadar Knowledge Center. В разделе Язык запросов Ariel (Ariel Query Language, AQL) главы Справка смотрите следующие темы: "Обзор языка запросов Ariel", "Логические операторы и операторы сравнения AQL", "Примеры запросов производительности системы", "Примеры запросов событий и потоков", "Примеры запросов справочных данных" и "Примеры запросов отслеживания пользователя и сети".