Filter zur Eingrenzung der Abfrageergebnisse verwenden

Sie können Filter verwenden, um die Abfrageergebnisse für die folgenden Befehle einzuschränken:

Bei der Angabe des Filters können Sie mehrere logische Ausdrücke verwenden, indem Sie diese mit dem logischen and kombinieren. Logische Ausdrücke müssen in Anführungszeichen gesetzt werden.

Syntax

"<Feld> <Vergleichsoperator> '<Wert>'"

"<Feld> <Vergleichsoperator> '<Wert>' and <Feld> <Vergleichsoperator> '<Wert>'"

Vergleichsoperatoren

Vergleichsoperator

Beschreibung

>

Größer als

<

Kleiner als

like

Entspricht dem angegebenen Wert (bei Angabe des Wertes können Sie als Maske % verwenden, siehe Beispiel unten)

==

Ist gleich

!=

Ist ungleich

>=

Größer oder gleich

<=

Kleiner oder gleich

Beispiele:

Abrufen von Informationen zu Dateien im Speicher mit der Signifikanz "High":

kesl-control -B --query "DangerLevel == 'High'"

Abrufen von Informationen zu Ereignissen, die den Text "etc" im Feld "FileName" enthalten:

kesl-control -E --query "FileName like '%etc%'"

Abrufen von Ereignissen vom Typ "ThreatDetected":

kesl-control -E --query "EventType == 'ThreatDetected'"

Abrufen von Ereignisse vom Typ "ThreatDetected", die von Aufgaben des Typs ODS generiert wurden:

kesl-control -E --query "EventType == 'ThreatDetected' and TaskType == 'ODS'"

Abrufen von Ereignissen, die nach einem bestimmten Datum generiert wurden (Angabe im Zeitformat UNIX™, d. h. der Anzahl an Sekunden, die seit 00:00:00 (UTC), 1. Januar 1970 vergangen sind):

kesl-control -E --query "Date > '1583425000'"

Abrufen von Ereignissen, die nach dem im Format "JJJJ-MM-TT hh:mm:ss" angegebenen Datum generiert wurden:

kesl-control -E --query "Date > '2022-12-22 18:52:45'"

Nach oben