Exemple de requête SQL créée à l'aide de l'utilitaire klsql2

Cette section fournit un exemple de requête SQL exécutée à l'aide de l'utilitaire klsql2.

Les exemples suivants montrent comment récupérer la liste des événements survenus sur les appareils des utilisateurs au cours des sept derniers jours et la trier selon l'heure de l'événement. Les événements les plus récents sont affichés en premier.

Exemple pour Microsoft SQL Server :

SELECT

/* identificateur d'événement */

e.nId,

 

/* heure de l'événement */

e.tmRiseTime,

 

/* nom interne du type d'événement */

e.strEventType,

 

/* nom de l'événement affiché */

e.wstrEventTypeDisplayName,

 

/* description de l'événement affichée */

e.wstrDescription,

 

/* nom du groupe où se trouve l'appareil */

e.wstrGroupName,

 

/* nom de l'appareil affiché sur lequel l'événement s'est produit */

h.wstrDisplayName,

CAST(((h.nIp / 16777216) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 65536) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 256) & 255) AS varchar(4)) + '.' +

 

/* adresse IP de l'appareil sur lequel l'événement s'est produit */

CAST(((h.nIp) & 255) AS varchar(4)) as strIp

FROM v_akpub_ev_event e

INNER JOIN v_akpub_host h ON h.nId=e.nHostId

WHERE e.tmRiseTime>=DATEADD(Day, -7, GETUTCDATE())

ORDER BY e.tmRiseTime DESC

Exemple pour PostgreSQL :

SELECT

/* identificateur d'événement */

"e"."nId",

 

/* heure de l'événement */

"e"."tmRiseTime",

 

/* nom interne du type d'événement */

"e"."strEventType",

 

/* nom de l'événement affiché */

"e"."wstrEventTypeDisplayName",

 

/* description de l'événement affichée */

"e"."wstrDescription",

 

/* description de l'événement affichée */

"e"."wstrGroupName",

 

/* nom de l'appareil affiché sur lequel l'événement s'est produit */

"h"."wstrDisplayName",

(

CAST((("h"."nIp" / 16777216 )& 255 ) AS VARCHAR(4)) || '.' ||

CAST((("h"."nIp" / 65536 )& 255 ) AS VARCHAR(4)) || '.' ||

CAST((("h"."nIp" / 256 )& 255 ) AS VARCHAR(4)) || '.' ||

/* adresse IP de l'appareil sur lequel l'événement s'est produit */

CAST((("h"."nIp" )& 255 ) AS VARCHAR(4))

) AS "strIp"

FROM "v_akpub_ev_event" AS "e"

INNER JOIN "v_akpub_host" AS "h" ON "h"."nId" = "e"."nHostId"

WHERE "e"."tmRiseTime" >= NOW() AT TIME ZONE 'utc' + make_interval(days => CAST(-7 AS INT))

ORDER BY "e"."tmRiseTime" DESC ;

Exemple pour MySQL ou MariaDB :

SELECT

/* identificateur d'événement */

`e`.`nId`,

 

/* heure de l'événement */

`e`.`tmRiseTime`,

 

/* nom interne du type d'événement */

`e`.`strEventType`,

 

/* nom de l'événement affiché */

`e`.`wstrEventTypeDisplayName`,

 

/* description de l'événement affichée */

`e`.`wstrDescription`,

 

/* nom du groupe d'appareils */

`e`.`wstrGroupName`,

 

/* nom de l'appareil affiché sur lequel l'événement s'est produit */

`h`.`wstrDisplayName`,

CONCAT(

LEFT(CAST(((`h`.`nIp` DIV 1677721) & 255) AS CHAR), 4), '.',

LEFT(CAST(((`h`.`nIp` DIV 65536) & 255) AS CHAR), 4), '.',

LEFT(CAST(((`h`.`nIp` DIV 256) & 255) AS CHAR), 4), '.',

/* adresse IP de l'appareil sur lequel l'événement s'est produit */

LEFT(CAST(((`h`.`nIp`) & 255) AS CHAR), 4)

) AS `strIp`

FROM `v_akpub_ev_event` AS `e`

INNER JOIN `v_akpub_host` AS `h` ON `h`.`nId` = `e`.`nHostId`

WHERE `e`.`tmRiseTime` >= ADDDATE( UTC_TIMESTAMP( ) , INTERVAL -7 DAY)

ORDER BY `e`.`tmRiseTime` DESC ;

Voir également :

Configuration de l'export d'événements vers des systèmes SIEM
Haut de page