篩選器可讓您在執行應用程式管理指令時限制查詢結果。
篩選條件使用一個或多個邏輯表達式指定,這些表達式使用邏輯運算子and進行組合。篩選條件必須用引號括起來:
“欄位> <比較運算子>‘<值>’”
“<欄位>< 比較操作子>‘<值>’ 和< 欄位>< 比較操作子>‘<值>’”
其中:
< field >是資料庫欄位的名稱。比較運算子>是下列比較運算子之一:>表示“大於”like符合指定值 當指定值時,您可以使用 % 遮罩:例如,邏輯表達式“FileName like '%etc%'”可設定限制“在 FileName 欄位中包含文字“etc””==表示“等於”!=表示“不等於”>=表示“大於或等於”value >是該欄位的值。值必須用單引號 (') 括起來。
您可以指定日期值作為 UNIX™ 時間(自 1970 年 1 月 1 日 00:00:00 (UTC) 以來經過的秒數)或 YYYY-MM-DD hh:mm:ss 格式的日期值。使用者以使用者本機時區指定日期和時間,應用程式以同一時區顯示它們。
您可以在以下應用程式管理指令中使用篩選器:
kesl-control -W --query "<篩選條件>"
kesl-control -E --query "<篩選條件>"
kesl-control -B --query "<篩選條件>"
kesl-control -B --mass-remove --query "<篩選條件>"
|
範例: 取得關於 FileName 欄位包含文字"etc"的事件的資訊:
顯示關於 ThreatDetected 類型的事件的資訊:
顯示 ODS 類型的工作所建立的 ThreatDetected 類型的事件資訊:
取得有關 UNIX 時間戳記系統(自 1970 年 1 月 1 日 00:00:00 (UTC) 以來經過的秒數)中指定日期之後產生的事件的資訊:
取得以 YYYY-MM-DD hh:mm:ss 格式指定的日期之後產生的事件的資訊:
取得關於備份儲存中具有高嚴重等級的檔案的資訊:
|