使用筛选器限制查询结果

您可以使用筛选器来限制以下命令的查询结果:

您可以使用多个逻辑表达式来指定筛选器,方法是使用 AND 运算符组合它们。逻辑表达式必须用引号括起来。

语法

"<字段> <比较运算符> '<>'"

"<> <比较运算符> '<>' and <字段> <比较运算符> '<>'"

比较运算符

比较运算符

Description

>

大于

<

小于

like

匹配指定值(当指定值时,您可以使用 % 掩码,参见下面的例子)

==

等于

!=

不等于

>=

大于或等于

<=

小于或等于

例如:

获取存储中具有高严重级别的文件的信息:

kesl-control -B --query "DangerLevel == 'High'"

获取在 FileName 字段包含文本“etc”的事件的信息:

kesl-control -E --query "FileName like '%etc%'"

获取 ThreatDetected 类型的事件:

kesl-control -E --query "EventType == 'ThreatDetected'"

输出 ODS 任务生成的 ThreatDetected 事件:

kesl-control -E --query "EventType == 'ThreatDetected' and TaskType == 'ODS'"

获取在 UNIX™ 时间戳系统(自 1970 年 1 月 00:00:00 (UTC) 起经过的秒数)中指定的日期后生成的事件:

kesl-control -E --query "Date > '1583425000'"

获取以 YYYY-MM-DD hh:mm:ss 格式指定的日期后生成的事件:

kesl-control -E --query "Date > '2022-12-22 18:52:45'"
页面顶部