Vous pouvez utiliser un filtre pour limiter les résultats de la requête aux commandes suivantes :
kesl-control -E --query "<expression logique>"
kesl-control -B --query "<expression logique>"
kesl-control -B --mass-remove --query "<expression logique>"
Vous pouvez utiliser plusieurs expressions logiques pour définir un filtre en les combinant à l'aide de l'opérateur logique and. Les expressions logiques doivent être placées entre guillemets.
Syntaxe
"<champ> <opération de comparaison> '<valeur>'"
"<champ> <opération de comparaison> '<valeur>' et <champ> <opération de comparaison> '<valeur>'"
Opérations de comparaison
Opération de comparaison |
Description |
|---|---|
|
Supérieur à |
|
Inférieur à |
|
Correspond à la valeur spécifiée (lors de la spécification de la valeur, vous pouvez utiliser des masques %, voir l'exemple ci-dessous) |
|
Égal à |
|
Pas égal à |
|
Supérieur ou égal à |
|
Inférieur ou égal à |
Exemples : Obtenez des informations sur les fichiers du stockage ayant la gravité élevée :
Obtenez des informations sur les événements qui contiennent le texte "etc" dans le champ FileName :
Obtenez des événements du type ThreatDetected (Menace détectée) :
Obtenez les événements de type ThreatDetected générés par les tâches de type ODS :
Obtenez les événements générés après la date spécifiée dans le système d'horodatage UNIX™ (le nombre de secondes qui se sont écoulées depuis 00:00:00 (UTC), 1er janvier 1970) :
Afficher les événements générés après la date spécifiée au format AAAA-MM-JJ hh:mm:ss :
|