Формирование SQL-запроса с помощью конструктора

Вы можете сформировать SQL-запрос для фильтрации событий с помощью конструктора запросов.

Выполнение SQL-запроса влияет на отображаемые столбцы таблицы.

Если SQL-запрос содержит значение *, указанные в запросе столбцы добавляются в таблицу, если они отсутствовали. Удаление отображаемого столбца из последующих запросов не скрывает соответствующий столбец.

Если SQL-запрос не содержит значения *, в таблице отображаются только столбцы для указанных полей, которые соответствуют нормализованной модели данных событий. Столбцы отображаются, даже если для них нет данных.

Чтобы сформировать SQL-запрос с помощью конструктора:

  1. Следуйте инструкциям, чтобы открыть таблицу событий.
  2. Нажмите на кнопку query builder, чтобы открыть конструктор запросов.

    Сформулируйте поисковый запрос, указав данные в следующих блоках параметров:

    • SELECT

      Поля событий, которые следует возвращать. По умолчанию выбрано значение *, означающее, что необходимо возвращать все доступные поля события. Чтобы настроить отображаемые поля, выберите нужные поля в раскрывающемся списке. Стоит учитывать, что Select * в запросе увеличивает длительность выполнения запроса, но избавляет от необходимости указывать поля в запросе.

      Выбрав поле события, вы можете в поле справа от раскрывающегося списка указать псевдоним для столбца выводимых данных, а в крайнем правом раскрывающемся списке можно выбрать операцию, которую следует произвести над данными: count, max, min, avg, sum.

    • FROM

      Источник данных. Выберите значение events.

    • WHERE

      Условия фильтрации событий.

      Чтобы добавить условия и группы, нажмите на кнопки Добавить условие и Добавить группу. Значение оператора AND выбирается по умолчанию в группе условий. Нажмите на значение оператора, чтобы изменить его. Доступные значения: AND, OR, NOT.

      Чтобы изменить структуру условий и групп условий, используйте значок Значок перетаскивания. для перетаскивания выражений.

      Чтобы добавить условия фильтрации:

      1. В раскрывающемся списке слева выберите поле события, которое вы хотите использовать для фильтрации.
      2. В среднем раскрывающемся списке выберите нужный оператор. Доступные операторы зависят от типа значения выбранного поля события.
      3. Введите значение условия. В зависимости от выбранного типа поля может потребоваться ввести значение вручную, выбрав его из раскрывающегося списка или в календаре.

      Чтобы удалить условия фильтрации, нажмите на кнопку X. Чтобы удалить условия группы, нажмите на кнопку Удалить группу.

    • GROUP BY

      Поля событий или псевдонимы, по которым следует группировать возвращаемые данные.

      Если вы используете в запросе группировку данных, настройка отображения таблицы событий, сортировка событий по возрастанию и убыванию, получение статистики, а также ретроспективное сканирование недоступны.

    • ORDER BY

      Столбцы, по которым следует сортировать возвращаемые данные. В раскрывающемся списке справа можно выбрать порядок: DESC – по убыванию, ASC – по возрастанию.

    • LIMIT

      Количество отображаемых в таблице строк.

      По умолчанию указано значение 250.

      Если при фильтрации событий по периоду, указанному пользователем, количество строк в результатах поиска превышает заданное значение, вы можете отобразить в таблице дополнительные строки, нажав на кнопку Показать больше записей. Кнопка не отображается при фильтрации событий по стандартному периоду.

  3. Нажмите на кнопку Применить.

    Текущий SQL-запрос будет перезаписан. Сгенерированный SQL-запрос отображается в поле поиска.

    Чтобы сбросить параметры конструктора, нажмите на кнопку Запрос по умолчанию.

    Чтобы закрыть конструктор, не перезаписывая существующий запрос, нажмите на кнопку query builder.

  4. Для отображения данных в таблице нажмите на кнопку Выполнить запрос.

    Вы также можете запустить выполнение запроса в фоном режиме. Для этого вам нужно нажать на значок стрелки рядом с кнопкой Выполнить запрос и нажать на кнопку Запустить в фоне. В этом случае происходит следующее:

    • Запрос будет добавлен в очередь на выполнение в фоновом режиме, и в разделе Detection and response будет создана задача на выполнение этого запроса.
    • Фоновые запросы выполняются с низким приоритетом параллельно.
    • Запрос не может быть отправлен на выполнение в фоновом режиме, если он содержит более 10 000 событий.

    В таблице отображаются результаты поиска по сформированному SQL-запросу. Результат выполнения запроса в фоновом режиме можно просмотреть в разделе Обнаружение и реагирование.

    При необходимости вы можете отменить выполнение запроса, нажав на значок стрелки рядом с кнопкой Выполнить запрос и выбрав Отменить запрос. При отмене запроса автоматически создается событие аудита.

При переходе в другой раздел веб-интерфейса сформированный в конструкторе запрос не сохраняется. Если вы повторно вернетесь в раздел События, в конструкторе будет отображаться запрос по умолчанию.

В начало