Filter zur Eingrenzung der Abfrageergebnisse verwenden
12. Dezember 2023
ID 201938
Sie können Filter verwenden, um die Abfrageergebnisse für die folgenden Befehle einzuschränken:
- Informationen über die App-Ereignisse abrufen:
kesl-control -E --query "<logischer Ausdruck>" - Informationen über Objekte im Speicher abrufen:
kesl-control -B --query "<logischer Ausdruck>" - Ausgewählte Objekte aus dem Speicher löschen:
kesl-control -B --mass-remove --query "<logischer Ausdruck>"
Bei der Angabe des Filters können Sie mehrere logische Ausdrücke verwenden, indem Sie diese mit dem logischen and kombinieren. Logische Ausdrücke müssen in Anführungszeichen gesetzt werden.
Syntax
"<Feld> <Vergleichsoperator> '<Wert>'"
"<Feld> <Vergleichsoperator> '<Wert>' and <Feld> <Vergleichsoperator> '<Wert>'"
Vergleichsoperatoren
Vergleichsoperator | Beschreibung |
|---|---|
| Größer als |
| Kleiner als |
| Entspricht dem angegebenen Wert (bei Angabe des Wertes können Sie als Maske % verwenden, siehe Beispiel unten) |
| Ist gleich |
| Ist ungleich |
| Größer oder gleich |
| Kleiner oder gleich |
Beispiele: Abrufen von Informationen zu Dateien im Speicher mit der Signifikanz "High":
Abrufen von Informationen zu Ereignissen, die den Text "etc" im Feld "FileName" enthalten:
Abrufen von Ereignissen vom Typ "ThreatDetected":
Abrufen von Ereignisse vom Typ "ThreatDetected", die von Aufgaben des Typs ODS generiert wurden:
Abrufen von Ereignissen, die nach einem bestimmten Datum generiert wurden (Angabe im Zeitformat UNIX, d. h. der Anzahl an Sekunden, die seit 00:00:00 (UTC), 1. Januar 1970 vergangen sind):
Abrufen von Ereignissen, die nach dem im Format "JJJJ-MM-TT hh:mm:ss" angegebenen Datum generiert wurden:
|