Sie können logische Ausdrücke verwenden, um die Abfrageergebnisse für die folgenden Befehle einzuschränken:
kesl-control -E --query "<logischer Ausdruck>"
kesl-control-B --query "<logischer Ausdruck>"
kesl-control-B --mass-remove --query "<logischer Ausdruck>"
Sie können mehrere Filter angeben, indem Sie sie mit dem logischen AND kombinieren. Setzen Sie den logischen Ausdruck in Anführungszeichen.
Syntax
"<Feld> <logischer Operator> '<Wert>'"
"<Feld> <logischer Operator> '<Wert>' and <Feld> <logischer Operator> '<Wert>'"
Beschreibung des logischen Operators
Logischer Operator |
Beschreibung |
|
|---|---|---|
> |
Größer als |
|
< |
Kleiner als |
|
like |
Entspricht dem angegebenen Wert (bei Angabe des Wertes können Sie als Maske % verwenden, siehe Beispiel unten) |
|
== |
Ist gleich |
|
!= |
Ist ungleich |
|
>= |
Größer oder gleich |
|
<= |
Kleiner oder gleich |
|
Beispiel: Abrufen von Informationen zu Dateien im Speicher mit der Signifikanz "High":
Abrufen von Informationen zu Ereignissen, die den Text "etc" im Feld "FileName" enthalten:
Abrufen von Ereignissen vom Typ "ThreatDetected":
Abrufen von Ereignissen vom Typ "ThreatDetected", die von den ODS-Aufgaben (Untersuchung auf Befehl) generiert wurden:
Abrufen von Ereignissen, die nach einem bestimmten Datum generiert wurden (Angabe in Unixzeit, d. h. der Anzahl an Sekunden, die seit 00:00:00 (UTC), 1. Januar 1970 vergangen sind):
|
||