Использование фильтра для ограничения результатов запроса

Вы можете использовать фильтр, чтобы ограничить результаты запроса для следующих команд:

Получение информации о событиях приложения:
kesl-control -E --query "<логическое выражение>"
Получение информации об объектах в Хранилище:
kesl-control -B --query "<логическое выражение>"
Удаление выбранных объектов из Хранилища:
kesl-control -B --mass-remove --query "<логическое выражение>"

Для указания фильтра вы можете использовать несколько логических выражений, комбинируя их с помощью логического оператора and. Логические выражения требуется заключать в кавычки.

Синтаксис

"<поле> <операция сравнения> '<значение>'"

"<поле> <операция сравнения> '<значение>' and <поле> <операция сравнения> '<значение>'"

Операции сравнения

Операция сравнения	Описание
`>`	Больше
`<`	Меньше
`like`	Соответствует указанному значению (при указании значения можно использовать маски %, см. пример ниже)
`==`	Равно
`!=`	Не равно
`>=`	Больше или равно
`<=`	Меньше или равно

Примеры:

Вывести информацию о файлах в Хранилище, имеющих высокий (High) уровень важности:

kesl-control -B --query "DangerLevel == 'High'"

Вывести информацию о событиях, которые содержат текст "etc" в поле FileName:

kesl-control -E --query "FileName like '%etc%'"

Вывести события с типом ThreatDetected (обнаружена угроза):

kesl-control -E --query "EventType == 'ThreatDetected'"

Вывести события с типом ThreatDetected, сформированные задачами с типом ODS:

kesl-control -E --query "EventType == 'ThreatDetected' and TaskType == 'ODS'"

Вывести события, сформированные после даты, указанной в системе отметок времени UNIX™ (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):

kesl-control -E --query "Date > '1583425000'"

Вывести события, сформированные после даты, указанной в формате YYYY-MM-DD hh:mm:ss:

kesl-control -E --query "Date > '2022-12-22 18:52:45'"

В начало