При расследовании алерта сложность SQL-запросов для фильтрации событий ограничена, если при расследовании алерта в раскрывающемся списке источников событий выбран пункт События алерта. В этом случае для фильтрации событий доступны только перечисленные ниже функции и операторы.
При выборе в раскрывающемся списке источников событий пункта Все события эти ограничения не действуют.
SELECT*.WHERE AND, OR, NOT, =, !=, >, >=, <, <=INBETWEENLIKEinSubnetПримеры:
WHERE Type IN ('Base', 'Correlated')WHERE BytesIn BETWEEN 1000 AND 2000WHERE Message LIKE '%ssh:%'WHERE inSubnet(DeviceAddress, '10.0.0.1/24')ORDER BYСортировка возможна по столбцам.
OFFSETПропуск указанного количества строк перед выводом результатов запроса.
LIMITЗначение по умолчанию – 250.
Если при фильтрации событий по пользовательскому периоду количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше. Кнопка не отображается при фильтрации событий по стандартному периоду.
В режиме расследования алерта при фильтрации по событиям, связанным с алертами, невозможно производить операции над данными полей событий и присваивать названия столбцам выводимых данных.
В начало