フィルターを使用して、次のコマンドのクエリ結果を制限できます:
kesl-control -E --query "<論理式>"
kesl-control -B --query "<論理式>"
kesl-control -B --mass-remove --query "<論理式>"
AND 演算子を使用して組み合わせた複数の論理式を使用して、フィルターを指定できます。論理式は引用符で囲む必要があります。
構文
"<フィールド> <比較演算子> '<値>'"
"<フィールド> <比較演算子> '<値>' and <フィールド> <比較演算子> '<値>'"
比較演算子
|
比較演算子 |
説明 |
|---|---|
|
|
より大きい |
|
|
未満 |
|
|
指定された値と一致(値を指定する場合、マスク「%」を使用できます。以下の例を参照してください) |
|
|
等しい |
|
|
等しくない |
|
|
以上 |
|
|
以下 |
|
例: 緊急度が高の保管領域内のファイルに関する情報を取得します:
FileName フィールドに「etc」というテキストを含むイベントに関する情報を取得します:
ThreatDetected タイプのイベントを取得します:
ODS タスクで生成された ThreatDetected イベントを出力します:
UNIX™ タイムスタンプシステム(1970 年 1 月 1 日 00:00:00(UTC)から経過した秒数)で指定された日付の後に生成されたイベントを取得します:
YYYY-MM-DD hh:mm:ss 形式で指定された日付後に発生したイベントを取得します:
|