Фильтр позволяет ограничивать результаты запроса при выполнении команд управления приложением.
Условия фильтра задаются с помощью одного или нескольких логических выражений, скомбинированных с помощью логического оператора and. Условия фильтра требуется заключать в кавычки:
"<поле> <операция сравнения> '<значение>'"
"<поле> <операция сравнения> '<значение>' and <поле> <операция сравнения> '<значение>'"
где:
<поле> – название поля базы данных.<операция сравнения> – одна из следующих операций сравнения:> – больше.< – меньше.like – соответствует указанному значению. При указании значения можно использовать маски %, например: логическое выражение "FileName like '%etc%'" задает ограничение "содержит текст "etc" в поле FileName".== – равно.!= – не равно.>= – больше или равно.<= – меньше или равно.<значение> – значение поля. Значение требуется указывать в одинарных кавычках (‘).Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.
Вы можете использовать фильтр в следующих командах управления приложением:
kesl-control -W --query "<условия фильтра>"
kesl-control -E --query "<условия фильтра>"
kesl-control -B --query "<условия фильтра>"
kesl-control -B --mass-remove --query "<условия фильтра>"
Примеры: Вывести информацию о событиях, которые содержат текст "etc" в поле FileName:
Вывести информацию о событиях с типом ThreatDetected (обнаружена угроза):
Вывести информацию о событиях с типом ThreatDetected, сформированных задачами типа ODS:
Вывести информацию о событиях, сформированных после даты, указанной в системе отметок времени UNIX™ (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):
Вывести информацию о событиях, сформированных после даты, указанной в формате YYYY-MM-DD hh:mm:ss:
Вывести информацию о файлах в резервном хранилище, имеющих высокий (High) уровень важности:
|