フィルターを使用すると、アプリケーション管理コマンドの実行時にクエリ結果を制限できます。
フィルター条件は 1 つ以上の論理式を使用して指定され、論理演算子を使用して結合さand。フィルター条件は引用符で囲む必要があります:
"<フィールド> <比較演算子> '<値>'"
"<フィールド> <比較演算子> '<値>' and <フィールド> <比較演算子> '<値>'"
説明:
<フィールド>はデータベースのフィールドの名前です。<比較演算子> は、次の比較演算子のいずれかです:> は "対象より大きい"< は "対象より小さい"like は、指定された値と一致します。値を指定する場合、% マスクを使用できます。たとえば、論理式「FileName like '%etc%'」は、「FileName フィールドにテキスト "etc" が含まれる」という制限を設定します== は "対象に等しい"!= は "対象に等しくない">= は "対象以上"<= は "対象以下"<値> はフィールドの値です。値は一重引用符 (') で囲む必要があります。
日付の値は、UNIX™ 時間(1970 年 1 月 1 日 00 時 00 分 00 秒(UTC)から経過した秒数)または YYYY-MM-DD hh:mm:ss 形式で指定することができます。ユーザーは、ユーザーのローカルタイムゾーンで日付と時刻を指定し、アプリケーションは同じタイムゾーンでそれらを表示します。
次のアプリケーション管理コマンドでフィルターを使用できます。
kesl-control -W --query "<フィルター条件>"
kesl-control -E --query "<フィルター条件>"
kesl-control -B --query "<フィルター条件>"
kesl-control -B --mass-remove --query "<フィルター条件>"
|
例: FileName フィールドに「etc」というテキストを含むイベントに関する情報を取得します:
ThreatDetected タイプのイベントに関する情報を表示します:
ODS タイプのタスクによって作成された、ThreatDetected タイプのイベントに関する情報を表示します:
UNIX タイムスタンプシステム(1970 年 1 月 1 日 00:00:00(UTC)から経過した秒数)で指定された日付の後に生成されたイベントに関する情報を取得します:
YYYY-MM-DD hh:mm:ss 形式で指定された日付後に発生したイベントに関する情報を取得します:
緊急度が高のバックアップ保管領域内のファイルに関する情報を取得します:
|