クエリの結果を制限するフィルターの使用
フィルターを使用すると、アプリケーション管理コマンドの実行時にクエリ結果を制限できます。
フィルター条件は 1 つ以上の論理式を使用して指定され、論理演算子を使用して結合され。フィルター条件は引用符で囲む必要があります:
"<フィールド> <比較演算子> '<値>'"
"<フィールド> <比較演算子> '<値>' and <フィールド> <比較演算子> '<値>'"
説明:
<フィールド>はデータベースのフィールドの名前です。<比較演算子>は、次の比較演算子のいずれかです:>は "対象より大きい"<は "対象より小さい"likeは、指定された値と一致します。値を指定する場合、% マスクを使用できます。たとえば、論理式「FileName like '%etc%'」は、「FileName フィールドにテキスト "etc" が含まれる」という制限を設定します==は "対象に等しい"!=は "対象に等しくない">=は "対象以上"<=は "対象以下"
<値>はフィールドの値です。値は一重引用符 (') で囲む必要があります。日付の値は、UNIX 時間(1970 年 1 月 1 日 00 時 00 分 00 秒(UTC)から経過した秒数)または YYYY-MM-DD hh:mm:ss 形式で指定することができます。ユーザーは、ユーザーのローカルタイムゾーンで日付と時刻を指定し、アプリケーションは同じタイムゾーンでそれらを表示します。
次のアプリケーション管理コマンドでフィルターを使用できます。
- 特定のアプリケーションの現在のイベントに関する情報を表示します:
kesl-control -W --query "<フィルター条件>" - イベントログ内の特定のアプリケーションイベントに関する情報を表示します。
kesl-control -E --query "<フィルター条件>" - バックアップ内の特定のオブジェクトに関する情報の表示:
kesl-control -B --query "<フィルター条件>" - バックアップから特定のオブジェクトを削除します:
kesl-control -B --mass-remove --query "<フィルター条件>"例:
FileName フィールドに「etc」というテキストを含むイベントに関する情報を取得します:
kesl-control -E --query "FileName like '%etc%'"ThreatDetected タイプのイベントに関する情報を表示します:
kesl-control -E--query "EventType == 'ThreatDetected'"ODS タイプのタスクによって作成された、ThreatDetected タイプのイベントに関する情報を表示します:
kesl-control -E --query "EventType == 'ThreatDetected' and TaskType == 'ODS'"UNIX タイムスタンプシステム(1970 年 1 月 1 日 00:00:00(UTC)から経過した秒数)で指定された日付の後に生成されたイベントに関する情報を取得します:
kesl-control -E --query "Date > '1583425000'"YYYY-MM-DD hh:mm:ss 形式で指定された日付後に発生したイベントに関する情報を取得します:
kesl-control -E --query "Date > '2022-12-22 18:52:45'"緊急度が高のバックアップ保管領域内のファイルに関する情報を取得します:
kesl-control -B --query "DangerLevel == 'High'"