Manuel d'administrationRapports planifiésPlanification d'un job de rapport › Utilisation des filtres avancés

Rubrique précédente: Sélection d'un modèle de rapport

Rubrique suivante: Définition des conditions de résultats

Utilisation des filtres avancés

Vous pouvez utiliser des filtres avancés en langage SQL pour qualifier une fonction qui interroge le magasin de journaux d'événements, y compris pour limiter des requêtes ou personnaliser des filtres rapides. L'interface Filtres avancés vous aide à créer la syntaxe de filtre appropriée grâce à un formulaire de saisie des colonnes logiques, opérateurs et valeurs, selon vos besoins de filtrage.

Remarque : Cette section contient une brève présentation des termes SQL utilisés dans les filtres avancés. Pour utiliser les filtres avancés au maximum de leur potentiel, vous devez posséder une connaissance approfondie de la grammaire SQL et de la grammaire commune aux événements.

Les termes SQL suivants permettent d'associer plusieurs instructions de filtre;

And

Affiche les informations de l'événement si tous les termes ajoutés sont vrais.

Or

Affiche les informations de l'événement si l'un des termes ajoutés est vrai.

Having

Restreint les termes de l'instruction SQL principale en ajoutant une instruction de qualification. Par exemple, vous pouvez définir un filtre avancé pour les événements issus d'hôtes spécifiés et ajouter une instruction "having" afin de limiter les résultats aux événements d'un niveau de sévérité défini.

Les opérateurs SQL suivants sont utilisés par les filtres avancés pour créer les conditions de base.

Opérateurs relationnels

Inclut les informations de l'événement si la colonne porte la relation appropriée à la valeur saisie. Les opérateurs relationnels suivants sont disponibles.

Par exemple, l'utilisation de Supérieur à inclut les informations de l'événement à partir de la colonne choisie si sa valeur est supérieure à la valeur définie.

Comme

Inclut les informations de l'événement si la colonne contient le modèle que vous avez saisi à l'aide du signe %. Par exemple, L% renvoie toutes les valeurs commençant par L, %L% renvoie toutes les valeurs contenant L comme valeur mais pas comme première ou dernière lettre.

Distinct de

Inclut les informations de l'événement si la colonne ne contient pas le modèle spécifié.

Dans l'ensemble

Inclut les informations de l'événement si la colonne contient au moins une valeur de l'ensemble délimité par des guillemets que vous avez saisi. Les différentes valeurs au sein de l'ensemble doivent être séparées par des virgules.

Hors ensemble

Inclut les informations de l'événement si la colonne ne contient pas au moins une valeur de l'ensemble délimité par des guillemets que vous avez saisi. Les différentes valeurs au sein de l'ensemble doivent être séparées par des virgules.

Correspondance

Inclut toute information d'événement qui correspond au moins à un des caractères que vous avez saisis, ce qui vous permet de rechercher des mots clés.

A clés

Inclut toute information d'événement définie comme une valeur clé pendant la configuration du serveur de rapports. Vous pouvez utiliser les valeurs clés pour définir la pertinence par rapport à l'entreprise ou d'autres groupes organisationnels.

Sans clé

Inclut toute information d'événement non définie comme une valeur clé pendant la configuration du serveur de rapports. Vous pouvez utiliser les valeurs clés pour définir la pertinence par rapport à l'entreprise ou d'autres groupes organisationnels.

Informations complémentaires :

Création d'un filtre d'événement avancé

Planification d'un job de rapport