Kaspersky Standard | Plus | Premium
Linux
Русский

Содержание

Как отфильтровать результаты запросов в командной строке

Вы можете с помощью фильтра ограничивать результаты запроса при выполнении команд управления приложением.

Условия фильтра задаются с помощью одного или нескольких логических выражений, скомбинированных с помощью логического оператора and. Условия фильтра требуется заключать в кавычки:

"<поле> <операция сравнения> '<значение>'"

"<поле> <операция сравнения> '<значение>' and <поле> <операция сравнения> '<значение>'"

где:

  • <поле> – название поля базы данных.
  • <операция сравнения> – одна из следующих операций сравнения:
    • > – больше.
    • < – меньше.
    • like – соответствует указанному значению. При указании значения можно использовать маски %, например: логическое выражение "FileName like '%etc%'" задает ограничение "содержит текст "etc" в поле FileName".
    • == – равно.
    • != – не равно.
    • >= – больше или равно.
    • <= – меньше или равно.
  • <значение> – значение поля. Значение требуется указывать в одинарных кавычках (‘).

    Значение даты вы можете указывать в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года) или в формате YYYY-MM-DD hh:mm:ss. Значение даты и времени указывается пользователем и отображается приложением по локальному времени пользователя.

Вы можете использовать фильтр в следующих командах управления приложением:

  • Вывод информации об определенных текущих событиях приложения:

    kfl-control -W --query "<условия фильтра>"

  • Вывод информации об определенных событиях приложения в журнале событий:

    kfl-control -E --query "<условия фильтра>"

  • Вывод информации об определенных объектах в резервном хранилище:

    kfl-control -B --query "<условия фильтра>"

  • Удаление определенных объектов из резервного хранилища:

    kfl-control -B --mass-remove --query "<условия фильтра>"

    Примеры:

    Вывести информацию о событиях, которые содержат текст "etc" в поле FileName:

    kfl-control -E --query "FileName like '%etc%'"

    Вывести информацию о событиях с типом ThreatDetected (обнаружена угроза):

    kfl-control -E --query "EventType == 'ThreatDetected'"

    Вывести информацию о событиях с типом ThreatDetected, сформированных задачами типа ODS:

    kfl-control -E --query "EventType == 'ThreatDetected' and TaskType == 'ODS'"

    Вывести информацию о событиях, сформированных после даты, указанной в системе отметок времени UNIX (количество секунд, прошедших с 00:00:00 (UTC), 1 января 1970 года):

    kfl-control -E --query "Date > '1583425000'"

    Вывести информацию о событиях, сформированных после даты, указанной в формате YYYY-MM-DD hh:mm:ss:

    kfl-control -E --query "Date > '2022-12-22 18:52:45'"

    Вывести информацию о файлах в резервном хранилище, имеющих высокий (High) уровень важности:

    kfl-control -B --query "DangerLevel == 'High'"

В начало
[Topic 290460]