使用筛选器限制查询结果
2023年4月20日
ID 201938
您可以使用筛选器来限制以下命令的查询结果:
- 获取有关应用程序事件的信息:
kesl-control -E --query "<逻辑表达式>" - 显示存储中对象的相关信息:
kesl-control -B --query "<逻辑表达式>" - 要从存储中删除所选对象:
kesl-control -B --mass-remove --query "<逻辑表达式>"
您可以使用多个逻辑表达式来指定筛选器,方法是使用 AND 运算符组合它们。逻辑表达式必须用引号括起来。
语法
"<字段> <比较运算符> '<值>'"
"<值> <比较运算符> '<值>' and <字段> <比较运算符> '<值>'"
比较运算符
比较运算符 | Description |
|---|---|
| 大于 |
| 小于 |
| 匹配指定值(当指定值时,您可以使用 % 掩码,参见下面的例子) |
| 等于 |
| 不等于 |
| 大于或等于 |
| 小于或等于 |
例如: 获取存储中具有高严重级别的文件的信息:
获取在 FileName 字段包含文本“etc”的事件的信息:
获取 ThreatDetected 类型的事件:
输出 ODS 任务生成的 ThreatDetected 事件:
获取在 UNIX 时间戳系统(自 1970 年 1 月 00:00:00 (UTC) 起经过的秒数)中指定的日期后生成的事件:
获取以 YYYY-MM-DD hh:mm:ss 格式指定的日期后生成的事件:
|