使用筛选器来限制查询结果
筛选器允许您在执行应用程序管理命令时限制查询结果。
筛选条件是通过一个或多个逻辑表达式来指定的,这些表达式使用逻辑运算符 and
进行组合。筛选条件必须用引号括起来:
"<
字段
> <
比较运算符
> '<
值
>'"
"<
值
> <
比较运算符
> '<
值
>' and <
字段
> <
比较运算符
> '<
值
>'"
其中:
<
字段
>
是数据库字段的名称。<
比较运算符
>
是下列比较运算符之一:>
表示“大于”<
表示“小于”like
匹配指定的值。在指定值时,可以使用 % 掩码:例如,逻辑表达式“FileName like '%etc%'”设置了“在 FileName 字段中包含文本‘etc’的限制”==
表示“等于”!=
表示“不等于”>=
表示“大于或等于”<=
表示“小于或等于”
<
值
>
表示该字段的值。该值必须用单引号 (') 括起来。您可以使用 UNIX 时间(自 1970 年 1 月 1 日 00:00:00 (UTC) 起经过的秒数)或 YYYY-MM-DD hh:mm:ss 格式指定日期值。用户指定用户当地时区的日期和时间,应用程序以同一时区显示它们。
您可以在以下应用程序管理命令中使用筛选器:
- 显示有关应用程序某些当前事件的信息:
kesl-control -W --query "<
筛选条件
>"
- 显示事件日志中有关某些应用程序事件的信息:
kesl-control -E --query "<
筛选条件
>"
- 显示备份中某些对象的相关信息:
kesl-control -B --query "<
筛选条件
>"
- 从备份中删除某些对象:
kesl-control -B --mass-remove --query "<
筛选条件
>"
例如:
获取在 FileName 字段包含文本“etc”的事件的信息:
kesl-control -E --query "FileName like '%etc%'"
显示有关“ThreatDetected”类型的事件的信息:
kesl-control -E--query "EventType == 'ThreatDetected'"
显示由 ODS 类型的任务创建的“ThreatDetected”类型的事件信息:
kesl-control -E --query "EventType == 'ThreatDetected' and TaskType == 'ODS'"
获取在 UNIX 时间戳系统(自 1970 年 1 月 1 日 00:00:00 (UTC) 起经过的秒数)中指定日期后生成的事件的相关信息:
kesl-control -E --query "Date > '1583425000'"
获取以 YYYY-MM-DD hh:mm:ss 格式指定的日期后生成的事件的相关信息:
kesl-control -E --query "Date > '2022-12-22 18:52:45'"
获取备份存储中严重级别为“高”的文件的信息:
kesl-control -B --query "DangerLevel == 'High'"