Для поиска событий телеметрии необходимо использовать определенный синтаксис. В поисковых запросах необходимо использовать следующие синтаксические правила:
<имя поля события> <оператор сравнения> <значение поля>
.AND
(логическое И)Результат запроса будет включать все события, удовлетворяющие обоим условиям (слева и справа от оператора AND
).
Например, в результате выполнения запроса DetectActionResult == "Quarantine" AND DetectStatus == "Malware*"
будут отображаться события, в которых DetectStatus начинается с Malware и при этом DetectActionResult равен Quarantine.
OR
(логическое ИЛИ)Результат запроса будет включать события, удовлетворяющие хотя бы одному из логических выражений.
Например, в результате выполнения запроса DetectActionResult == "Quarantine" OR DetectStatus == "Malware*"
будут отображаться события, в которых DetectStatus начинается с Malware или DetectActionResult равен Quarantine.
NOT
(логическое НЕ)Результат запроса будет включать события, не удовлетворяющие условию.
Например, в результате выполнения запроса NOT (DetectActionResult == "Quarantine")
будут отображаться события, в которых DetectActionResult не равен Quarantine.
Например, в результате выполнения запроса (DetectActionResult == "Quarantine" OR DetectStatus == "Malware*") AND FileSize > 16
будут отображаться события, в которых DetectStatus начинается с Malware или DetectActionResult равен Quarantine, и при этом размер вложенного файла превышает 16 байт.
А в результате выполнения запроса DetectActionResult == "Quarantine" OR (DetectStatus == "Malware*" AND FileSize > 16)
будут отображаться события, в которых DetectActionResult равен Quarantine, или DetectStatus начинается с Malware при том, что размер вложенного файла превышает 16 байт.
Например, в результате выполнения запроса DetectActionResult == "Quarantine"
будут отображаться события, в которых значение поля DetectActionResult равно Quarantine.
Например, в результате выполнения запроса DetectActionResult != "Quarantine"
будут отображаться события, в которых значение поля DetectActionResult не равно Quarantine.
Например, в результате выполнения запроса FileSize > 16
будут отображаться события с вложенным файлом размером более 16 байт.
Например, в результате выполнения запроса FileSize < 16
будут отображаться события с вложенным файлом размером менее 16 байт.
Например, в результате выполнения запроса FileSize >= 16
будут отображаться события с вложенным файлом размером большим или равным 16 байт.
Например, в результате выполнения запроса FileSize <= 16
будут отображаться события с вложенным файлом размером меньшим или равным 16 байт.
<тип поля>
не чувствителен к регистру символов. Например, результаты выполнения запросов computername == "host"
и COMPUTERNAME == "host"
будут одинаковы.<значение поля>
представляет собой последовательность букв, цифр и специальных символов. <Значение поля>
не может быть именем <типа поля>
. Строковые значения необходимо заключать в кавычки. Исключением является поиск непустой строки. В этом случае возможен ввод без кавычек (например, computername == *
или computername == "*"
).<значение поля>
не чувствителен к регистру символов. Например, результаты выполнения запросов ComputerName == "host"
и ComputerName == "HOST"
будут одинаковы.<значение поля>
может включать следующие специальные символы:*
: звездочка обозначает любое количество символов в строке (применимо только к строковым значениям).Например, в результате выполнения запроса EventName == "H*"
будут отображаться события, начинающиеся с буквы "H".
Также символ звездочки можно использовать для исключения полей с пустыми значениями: например, в результате выполнения запроса EventName == "*"
или EventName == *
будут отображаться события, в которых поле EventName имеет непустое значение.
?
: знак вопроса обозначает один любой символ в строке (применимо только к строковым значениям). Например, в результате выполнения запроса ProcessUserName == "User?"
будут отображаться события, у которых ProcessUserName имеет такие значения, как Users, User1, User2 и другие совпадающие подстроки.
\
: обратный слеш используется для экранирования (использования в запросах) звездочки, знака вопроса и обратного слеша.Например, обратный слеш используется при поиске пути: file_pathes == "c:\\windows\\system32\\nslookup.exe"
.