Tırnak işaretleri

Bir AQL sorgularında, sorgu terimlerini ve sorgulanan sütunları, QRadar® ' un sorguyu ayrıştırabilmesi için bazen tek ya da çift tırnak işaretlerine gerek duyar.

Aşağıdaki tablo, tek ya da çift tırnak işaretlerinin ne zaman kullanılacağını tanımlar.

Tırnak işareti tipi Ne zaman kullanılır

Tekli

Tablo 1. Bir sorguda kullanılacak tırnak işaretlerinin tipi
Tırnak işareti tipi	Ne zaman kullanılır
Tekli	Herhangi bir American National Standards Institute (ANSI) VARCHAR dizesini, LIKE ya da equals (=) işleciyle ya da VARCHAR dizgisi bekleyen herhangi bir işleç gibi SQL deyimlerine göre belirlemek için. Örnekler: `SELECT * from events WHERE sourceip = '192.0.2.0'` `SELECT * from events WHERE userName LIKE '%james%'` `SELECT * from events WHERE userName = 'james'` `SELECT * FROM events WHERE INCIDR('10.45.225.14', sourceip)` `SELECT * from events WHERE TEXT SEARCH 'my search term'`
Çift	Boşluk ya da ASCII dışı karakterler içeren çizelge ve kolon adlarını belirtmek ve boşluk ya da ASCII dışı karakterler içeren özel özellik adlarını belirtmek için, aşağıdaki sorgu öğeleri için çift tırnak imi kullanın. Örnekler: `SELECT "username column" AS 'User name' FROM events` `SELECT "My custom property name" AS 'My new alias' FROM events` Alan, işlev, veritabanı ya da var olan bir diğer ad gibi bir sistem nesnesinin adını tanımlamak için çift tırnak işareti kullanın. Örnek: `SELECT "Application Category", sourceIP, EventCount AS 'Count of Events' FROM events GROUP BY "Count of Events"` WHERE, GROUP BY ya da ORDER BY yantümcesi kullandığınızda, boşluk içeren var olan bir diğer adı belirtmek için çift tırnak işareti kullanın. Örnekler: `SELECT sourceIP, destinationIP, sourcePort, EventCount AS 'Event Count', category, hasidentity, username, payload, UtF8(payLoad), QiD, QiDnAmE(qid) FROM events WHERE (NOT (sourcePort <= 3003 OR hasidentity = 'True')) AND (qid = 5000023 OR qid = 5000193) AND (INCIDR('192.0.2.0/4', sourceIP) OR NOT INCIDR('192.0.2.0/4', sourceIP)) ORDER BY "Event Count" DESC LAST 60 MINUTES` `SELECT sourceIP, destinationIP, sourcePort, EventCount AS 'Event Count', category, hasidentity, username, payload, UtF8(payLoad), QiD, QiDnAmE(qid) FROM events ORDER BY "Event Count" DESC LAST 60 MINUTES`
Tek ya da çift	Sorgudaki bir sütun tanımı için diğer ad belirtmek üzere tek tırnak işareti kullanın. Örnek: `SELECT username AS 'Name of User', sourceip AS 'IP Source' FROM events` WHERE, GROUP BY ya da ORDER BY yantümcesi kullanırken, boşluk içeren varolan bir diğer adı belirtmek için çift tırnak işareti kullanın. Örnek: `SELECT sourceIP AS 'Source IP Address', EventCount AS 'Event Count', QiD, QiDnAmE(qid) FROM events GROUP BY "Source IP Address" LAST 60 MINUTES`

Herhangi bir American National Standards Institute (ANSI) VARCHAR dizesini, LIKE ya da equals (=) işleciyle ya da VARCHAR dizgisi bekleyen herhangi bir işleç gibi SQL deyimlerine göre belirlemek için.

Örnekler:

SELECT * from events WHERE sourceip = '192.0.2.0'

SELECT * from events WHERE userName LIKE '%james%'

SELECT * from events WHERE userName = 'james'

SELECT * FROM events 
WHERE INCIDR('10.45.225.14', sourceip)

SELECT * from events WHERE TEXT SEARCH 'my search term'

Çift

Boşluk ya da ASCII dışı karakterler içeren çizelge ve kolon adlarını belirtmek ve boşluk ya da ASCII dışı karakterler içeren özel özellik adlarını belirtmek için, aşağıdaki sorgu öğeleri için çift tırnak imi kullanın.

Örnekler:

SELECT "username column" AS 'User name' FROM events

SELECT "My custom property name" 
AS 'My new alias' FROM events

Alan, işlev, veritabanı ya da var olan bir diğer ad gibi bir sistem nesnesinin adını tanımlamak için çift tırnak işareti kullanın.

Örnek:

SELECT "Application Category", sourceIP, 
EventCount AS 'Count of Events' 
FROM events GROUP BY "Count of Events"

WHERE, GROUP BY ya da ORDER BY yantümcesi kullandığınızda, boşluk içeren var olan bir diğer adı belirtmek için çift tırnak işareti kullanın.

Örnekler:

SELECT sourceIP, destinationIP, sourcePort, 
EventCount AS 'Event Count', 
category, hasidentity, username, payload, UtF8(payLoad), 
QiD, QiDnAmE(qid) FROM events 
WHERE (NOT (sourcePort <= 3003 OR hasidentity = 'True')) 
AND (qid = 5000023 OR qid = 5000193) 
AND (INCIDR('192.0.2.0/4', sourceIP) 
OR NOT INCIDR('192.0.2.0/4', sourceIP)) ORDER BY "Event Count" 
DESC LAST 60 MINUTES

SELECT sourceIP, destinationIP, sourcePort, EventCount 
AS 'Event Count', 
category, hasidentity, username, payload, UtF8(payLoad), 
QiD, QiDnAmE(qid) 
FROM events ORDER BY "Event Count" 
DESC LAST 60 MINUTES

Tek ya da çift

Sorgudaki bir sütun tanımı için diğer ad belirtmek üzere tek tırnak işareti kullanın.

Örnek:

SELECT username AS 'Name of User', sourceip 
AS 'IP Source' FROM events

WHERE, GROUP BY ya da ORDER BY yantümcesi kullanırken, boşluk içeren varolan bir diğer adı belirtmek için çift tırnak işareti kullanın.

Örnek:

SELECT sourceIP AS 'Source IP Address', 
EventCount AS 'Event Count', QiD, QiDnAmE(qid)
FROM events
GROUP BY "Source IP Address"
LAST 60 MINUTES

Sorgu örneklerini AQL kılavuzundan kopyalama

AQL Guide adlı kılavuzdaki tek ya da çift tırnak işaretleri içeren bir sorgu örneğini kopyalayıp yapıştırdıysanız, sorgu ayrıştırmalarının geçerli olduğundan emin olmak için tırnak işaretlerini yeniden yazmanız gerekir.