筛选器允许您在执行应用程序管理命令时限制查询结果。
筛选条件是通过一个或多个逻辑表达式来指定的,这些表达式使用逻辑运算符 and 进行组合。筛选条件必须用引号括起来:
"<字段> <比较运算符> '<值>'"
"<值> <比较运算符> '<值>' and <字段> <比较运算符> '<值>'"
其中:
<字段> 是数据库字段的名称。<比较运算符> 是下列比较运算符之一:> 表示“大于”< 表示“小于”like 匹配指定的值。在指定值时,可以使用 % 掩码:例如,逻辑表达式“FileName like '%etc%'”设置了“在 FileName 字段中包含文本‘etc’的限制”== 表示“等于”!=表示“不等于”>= 表示“大于或等于”<= 表示“小于或等于”< 值 > 表示该字段的值。该值必须用单引号 (') 括起来。
您可以将日期值指定为 UNIX™ 时间(自 1970 年 1 月 1 日 00:00:00 (UTC) 起经过的秒数),或者采用 YYYY-MM-DD hh:mm:ss 的格式。用户指定用户当地时区的日期和时间,应用程序以同一时区显示它们。
您可以在以下应用程序管理命令中使用筛选器:
kesl-control -W --query "<筛选条件>"
kesl-control -E --query "<筛选条件>"
kesl-control -B --query "<筛选条件>"
kesl-control -B --mass-remove --query "<筛选条件>"
|
例如: 获取在 FileName 字段包含文本“etc”的事件的信息:
显示有关“ThreatDetected”类型的事件的信息:
显示由 ODS 类型的任务创建的“ThreatDetected”类型的事件信息:
获取在 UNIX™ 时间戳系统(自 1970 年 1 月 1 日 00:00:00 (UTC) 起经过的秒数)中指定日期后生成的事件的相关信息:
获取以 YYYY-MM-DD hh:mm:ss 格式指定的日期后生成的事件的相关信息:
获取备份存储中严重级别为“高”的文件的信息:
|