検索構文:複雑なクエリ
Searchアプリを使用すると、強力なクエリを実行して、エンドポイント、メッセージング、およびネットワーク製品のデータにアクセスしたり、セキュリティ検出のみに集中したりできます。
次の表は、さまざまな検索構文の概要と文字列の例を示しています。
|
検索対象 |
説明 |
構文 |
例 |
|---|---|---|---|
|
部分一致 |
指定したフィールドについて、検索文字列を含むすべての結果が表示されます。 |
<field_name>: <search_string> |
endpointName: windows エンドポイント名に "Windows" を含むすべての結果を返します。 |
|
完全一致 |
指定されたフィールドに一致する、指定された検索文字列を含むすべての結果が表示されます。 |
<field_name>: "<search_string>" |
endpointName: "john_doe" エンドポイント名が "john_doe"である結果のみを返します。 |
|
論理演算子:複数のフィールド |
次の演算子を使用して、複数のフィールドに指定された要件に一致するすべての結果を提供します。
|
<field_name>: <search_string> OPERATOR <field_name>: <search_string> |
endpointName: "john_doe" AND fileName: credit エンドポイント名が "john_doe" で、検出に関連するファイル名に "Credits"というテキストが含まれる結果のみを返します。 endpointName: "john_doe" AND NOT fileName: home エンドポイント名が "john_doe" で、検出に関連するファイル名に「 "home"」というテキストが含まれない結果のみを返します。 |
|
論理演算子:複数の値 |
次の演算子を使用して、同じフィールドの複数の値に対して指定された要件に一致するすべての結果を提供します。
|
<field_name>: (<search_string> OPERATOR <search_string>) |
endpointName: ("john_doe" OR "jane_doe") エンドポイント名が "john_doe" または "jane_doe"である結果を返します。 |
|
ワイルドカードの使用 |
次のワイルドカード文字の代わりにフィールド値と一致する結果が得られます。
重要:
ワイルドカードの使用は、次のデータタイプではサポートされていません。
|
<field_name>: <search_string>* |
endpointName: "john*" エンドポイント名の最初の4文字が "john" であるすべての結果を返します。 結果の例: "john"、 "john_doe ""、 "johndoe"、 "johnd" |
|
Null値 |
対応するフィールド値がNULLである結果を提供します。 |
<field_name>: null |
fileName: null fileName値が存在しないすべての結果を返します。 |
|
特殊文字/エスケープ文字 |
検索文字列に二重引用符( ")またはバックスラッシュ(\)が含まれている場合は、バックスラッシュエスケープ文字" \ "を使用して、特殊文字が特殊マークアップではなく検索条件の一部であることを示す必要があります。 重要:
部分一致はサポートされていません。 |
<field_name>: "\<"or\><search_string>" |
fullFilePath: "C:\\notepad\\tmp.txt" fullFilePathの値が正確に一致するすべての結果を返します。 C:\notepad\tmp.txt |
