klsql2 實用程式中的 SQL 查詢例子

該部分顯示 SQL 查詢的例子,透過 klsql2 實用程式執行。

以下例子闡述了對過去七天發生在裝置上的事件的獲取,並依據事件發生時間顯示事件。首先顯示最近的事件。

Microsoft SQL Server 的例子:

SELECT

/* 事件標識 */

e.nId,

 

/* 事件發生的時間 */

e.tmRiseTime,

 

/* 事件類型的內部名稱 */

e.strEventType,

 

/* 事件的顯示名稱 */

e.wstrEventTypeDisplayName,

 

/* 事件的顯示敘述 */

e.wstrDescription,

 

/* 事件所在的群組名稱 */

e.wstrGroupName,

 

/* 發生事件的裝置的顯示名稱 */

h.wstrDisplayName,

CAST(((h.nIp / 16777216) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 65536) & 255) AS varchar(4)) + '.' +

CAST(((h.nIp / 256) & 255) AS varchar(4)) + '.' +

 

/* 發生事件的裝置的 IP 位址 */

CAST(((h.nIp) & 255) AS varchar(4)) as strIp

FROM v_akpub_ev_event e

INNER JOIN v_akpub_host h ON h.nId=e.nHostId

WHERE e.tmRiseTime>=DATEADD(Day, -7, GETUTCDATE())

ORDER BY e.tmRiseTime DESC

PostgreSQL 的例子:

SELECT

/* 事件標識 */

"e"."nId",

 

/* 事件發生的時間 */

"e"."tmRiseTime",

 

/* 事件類型的內部名稱 */

"e"."strEventType",

 

/* 事件的顯示名稱 */

"e"."wstrEventTypeDisplayName",

 

/* 事件的顯示敘述 */

"e"."wstrDescription",

 

/* 事件的顯示敘述 */

"e"."wstrGroupName",

 

/* 發生事件的裝置的顯示名稱 */

"h"."wstrDisplayName",

(

CAST((("h"."nIp" / 16777216 )& 255 ) AS VARCHAR(4)) || '.' ||

CAST((("h"."nIp" / 65536 )& 255 ) AS VARCHAR(4)) || '.' ||

CAST((("h"."nIp" / 256 )& 255 ) AS VARCHAR(4)) || '.' ||

/* 發生事件的裝置的 IP 位址 */

CAST((("h"."nIp" )& 255 ) AS VARCHAR(4))

) AS "strIp"

FROM "v_akpub_ev_event" AS "e"

INNER JOIN "v_akpub_host" AS "h" ON "h"."nId" = "e"."nHostId"

WHERE "e"."tmRiseTime" >= NOW() AT TIME ZONE 'utc' + make_interval(days => CAST(-7 AS INT))

ORDER BY "e"."tmRiseTime" DESC ;

MySQL 或 MariaDB 的例子:

SELECT

/* 事件標識 */

`e`.`nId`,

 

/* 事件發生的時間 */

`e`.`tmRiseTime`,

 

/* 事件類型的內部名稱 */

`e`.`strEventType`,

 

/* 事件的顯示名稱 */

`e`.`wstrEventTypeDisplayName`,

 

/* 事件的顯示敘述 */

`e`.`wstrDescription`,

 

/* 裝置群組名稱 */

`e`.`wstrGroupName`,

 

/* 發生事件的裝置的顯示名稱 */

`h`.`wstrDisplayName`,

CONCAT(

LEFT(CAST(((`h`.`nIp` DIV 1677721) & 255) AS CHAR), 4), '.',

LEFT(CAST(((`h`.`nIp` DIV 65536) & 255) AS CHAR), 4), '.',

LEFT(CAST(((`h`.`nIp` DIV 256) & 255) AS CHAR), 4), '.',

/* 發生事件的裝置的 IP 位址 */

LEFT(CAST(((`h`.`nIp`) & 255) AS CHAR), 4)

) AS `strIp`

FROM `v_akpub_ev_event` AS `e`

INNER JOIN `v_akpub_host` AS `h` ON `h`.`nId` = `e`.`nHostId`

WHERE `e`.`tmRiseTime` >= ADDDATE( UTC_TIMESTAMP( ) , INTERVAL -7 DAY)

ORDER BY `e`.`tmRiseTime` DESC ;

另請參閱:

設定事件匯出到 SIEM 系統
頁頂