Erstellen einer Abfrage

In diesem Beispiel wird gezeigt, wie Sie über die soeben erstellte Datenquelle Informationen zu Änderungen an den Data Control-Richtlinien in den letzten drei Monaten abfragen können.

  1. Deaktivieren Sie im Dialogfeld Datenquelle auswählen die Option Query-Assistenten zur Erstellung/Bearbeitung von Abfragen verwenden.
  2. Wählen Sie die in den vorangegangen Schritten erstellte Datenquelle (im vorliegenden Beispiel SophosAuditing) aus und klicken Sie auf OK.
    Im Dialogfeld Microsoft Query wird Abfrage von SophosAuditing mit der Standardtabelle vAuditEventsAll angezeigt, die beim Erstellen der Datenquelle ausgewählt wurde.
  3. Führen Sie einen der folgenden Schritte aus:
    • Erstellen Sie eine Abfrage in der Designansicht.
      1. Klicken Sie im Dialogfeld Microsoft Query im Menü Kriterien auf Kriterien hinzufügen.
      2. Wählen Sie im Dialogfeld Kriterien hinzufügen neben Feld die Option Zeitstempel aus. Lassen Sie das Feld Operator leer. Geben Sie in das Feld Wert Folgendes ein:

        >=DATEADD(mm,-3,GETUTCDATE())

        Verwenden Sie das in der Systemsteuerung in den „Region- und Spracheinstellungen“ festgelegte Listentrennzeichen. Wenn es sich bei dem Trennzeichen etwa um einen Strichpunkt handelt, verwenden Sie bei der Anweisung oben Strichpunkte statt Kommas. Bei Verwendung des falschen Listentrennzeichens wird unter Umständen eine Fehlermeldung „Extra“ angezeigt.

        Klicken Sie auf Hinzufügen. Das Kriterium wird zur Abfrage von SophosAuditing hinzugefügt.

      3. Wählen Sie im Dialogfeld Kriterien hinzufügen neben Feld die Option TargetType aus. Wählen Sie im Feld Operator die Option ist gleich aus. Wählen Sie im Feld Wert die Option Policy aus oder geben Sie sie ein.

        Klicken Sie auf Hinzufügen. Das Kriterium wird zur Abfrage von SophosAuditing hinzugefügt.

      4. Wählen Sie im Dialogfeld Kriterien hinzufügen neben Feld die Option TargetSubType aus. Wählen Sie im Feld Operator die Option ist gleich aus. Wählen Sie im Feld Wert die Option Data Control aus oder geben Sie sie ein.

        Klicken Sie auf Hinzufügen. Das Kriterium wird zur Abfrage von SophosAuditing hinzugefügt.

        Klicken Sie im Dialogfeld Kriterien hinzufügen auf Schließen.

      5. Fügen Sie im Dialogfeld Microsoft Query die Felder von vAuditEventsAll per Doppelklick zur Abfrage hinzu. Sie können jedoch auch ein Feld zur Abfrage hinzufügen, indem Sie es von der Tabelle in den Anzeigebereich ziehen.
    • Erstellen Sie eine Abfrage in der SQL-Ansicht.
      1. Klicken Sie in Microsoft Query auf die Schaltfläche SQL und geben Sie Ihre SQL-Anweisung ein. Beispiel:
        
SELECT EventId, Timestamp, UserName, HostIPAddress, Action, TargetName, ParameterType, ParameterValue, Result
                        
FROM SophosSecurity.Reports.vAuditEventsAll 
                     
WHERE (Timestamp>=DATEADD(mm,-3,GETUTCDATE())) 
AND (TargetType='Policy') 
AND (TargetSubType='Data control')
                      
ORDER BY EventId ASC

        Klicken Sie auf OK.


    Microsoft Query – Beispiel
  4. Klicken Sie zum Speichern der Abfrage im Menü Datei auf Speichern.