Guida di Kaspersky Security Center 15 Linux
15
Italiano

Sommario

Esempio di una query SQL nell'utilità klsql2

Questa sezione fornisce un esempio di query SQL, eseguita tramite l'utilità klsql2.

I seguenti esempi illustrano il recupero degli eventi che si sono verificati nei dispositivi negli ultimi sette giorni e la visualizzazione degli eventi ordinati in base all'ora in cui si sono verificati. Gli eventi più recenti vengono visualizzati per primi.

Esempio per PostgreSQL:

SELECT

/* identificatore dell'evento */

"e"."nId",

 

/* ora in cui si è verificato l'evento */

"e"."tmRiseTime",

 

/* nome interno del tipo di eventoe */

"e"."strEventType",

 

/* nome visualizzato dell'evento */

"e"."wstrEventTypeDisplayName",

 

/* descrizione visualizzata dell'evento */

"e"."wstrDescription",

 

/* descrizione visualizzata dell'evento */

"e"."wstrGroupName",

 

/* nome visualizzato del dispositivo in cui si è verificato l'evento */

"h"."wstrDisplayName",

(

CAST((("h"."nIp" / 16777216 )& 255 ) AS VARCHAR(4)) || '.' ||

CAST((("h"."nIp" / 65536 )& 255 ) AS VARCHAR(4)) || '.' ||

CAST((("h"."nIp" / 256 )& 255 ) AS VARCHAR(4)) || '.' ||

/* indirizzo IP del dispositivo, in cui si è verificato l'evento */

CAST((("h"."nIp" )& 255 ) AS VARCHAR(4))

) AS "strIp"

FROM "v_akpub_ev_event" AS "e"

INNER JOIN "v_akpub_host" AS "h" ON "h"."nId" = "e"."nHostId"

WHERE "e"."tmRiseTime" >= NOW() AT TIME ZONE 'utc' + make_interval(days => CAST(-7 AS INT))

ORDER BY "e"."tmRiseTime" DESC ;

Esempio per MySQL o MariaDB:

SELECT

/* identificatore dell'evento */

`e`.`nId`,

 

/* ora in cui si è verificato l'evento */

`e`.`tmRiseTime`,

 

/* nome interno del tipo di eventoe */

`e`.`strEventType`,

 

/* nome visualizzato dell'evento */

`e`.`wstrEventTypeDisplayName`,

 

/* descrizione visualizzata dell'evento */

`e`.`wstrDescription`,

 

/* nome del gruppo di dispositivi */

`e`.`wstrGroupName`,

 

/* nome visualizzato del dispositivo in cui si è verificato l'evento */

`h`.`wstrDisplayName`,

CONCAT(

LEFT(CAST(((`h`.`nIp` DIV 1677721) & 255) AS CHAR), 4), '.',

LEFT(CAST(((`h`.`nIp` DIV 65536) & 255) AS CHAR), 4), '.',

LEFT(CAST(((`h`.`nIp` DIV 256) & 255) AS CHAR), 4), '.',

/* indirizzo IP del dispositivo, in cui si è verificato l'evento */

LEFT(CAST(((`h`.`nIp`) & 255) AS CHAR), 4)

) AS `strIp`

FROM `v_akpub_ev_event` AS `e`

INNER JOIN `v_akpub_host` AS `h` ON `h`.`nId` = `e`.`nHostId`

WHERE `e`.`tmRiseTime` >= ADDDATE( UTC_TIMESTAMP( ) , INTERVAL -7 DAY)

ORDER BY `e`.`tmRiseTime` DESC ;

Vedere anche:

Configurazione dell'esportazione di eventi nei sistemi SIEM
Inizio pagina
[Topic 151338]