Vous pouvez utiliser des expressions logiques pour limiter les résultats de la requête pour les commandes suivantes :
kesl-control -E --query "<expression logique>"
kesl-control-B --query "<expression logique>"
kesl-control-B --mass-remove --query "<expression logique>"
Vous pouvez spécifier plusieurs filtres en les combinant à l'aide du ET logique. Mettez l'expression logique entre guillemets.
Syntaxe
"<champ> <opérateur logique> '<valeur>'"
"<champ> <opérateur logique> '<valeur>' and <champ> <opérateur logique> '<valeur>'"
Description de l'opérateur logique
Opérateur logique |
Description |
|
---|---|---|
> |
Supérieur à |
|
< |
Inférieur à |
|
comme |
Correspond à la valeur spécifiée (lors de la spécification de la valeur, vous pouvez utiliser des masques %, voir l'exemple ci-dessous) |
|
== |
Égal à |
|
! = |
Pas égal à |
|
> = |
Supérieur ou égal à |
|
<= |
Inférieur ou égal à |
|
Exemple : Obtenez des informations sur les fichiers du stockage ayant le niveau de gravité élevé :
Obtenez des informations sur les événements qui contiennent le texte "etc" dans le champ FileName :
Obtenez des événements du type ThreatDetected:
Obtenez des événements du type ThreatDetected générés par les tâches ODS :
Obtenez les événements générés après la date spécifiée dans le système d'horodatage UNIX (le nombre de secondes qui se sont écoulées depuis 00:00:00 (UTC), 1er janvier 1970) :
|