篩選查詢格式 | Trend Micro Service Central

檢視次數:

使用與搜尋應用程式中相同的 Kibana 類查詢語言來格式化您的查詢字串。

雖然自訂篩選查詢使用與搜尋應用程式查詢相同的查詢語言，但自訂篩選查詢有一些額外的限制：

所有查詢必須至少包含一個欄位名稱和值對。(endpointHostName:endpoint-123)
查詢字串必須包含至少一個定義的值。如果至少定義了一個值，您可以在複合查詢中使用星號通配符 (*)。(endpointHostName:endpoint-123 AND fileName:*)

若要了解有關搜尋應用程式查詢語法和自訂篩選器中的正則表達式的更多資訊，請參閱搜尋語法和在自訂過濾器中使用正則表達式。

為了提高查詢性能並避免執行時間過長，請考慮以下事項：

將簡單的搜尋條件放在查詢字串的前面。
將返回大量資料的欄位（例如objectRawDataStr或rawDataStr）放在查詢字串的末尾。
避免使用過多的萬用字元，或將萬用字元放在查詢字串的末尾。
每個篩選器僅使用一或兩個策略、技術和程序。
在篩選器中使用盡可能少的運算子。
將eventSubId放在篩選條件的開頭，以快速縮小數據集。
使用processName代替processCmd來簡化正在過濾並減少複雜性。
在複雜模式（例如複雜的正則表達式或中間萬用字元）之前放置一個簡單的子集模式。

範例：對於 objectRawDataStr:'*(abcd -UseBasicParsing)*' AND (objectRawDataStr: '* abcd *' OR objectRawDataStr: '* efgh *')，提取最長的純子字串，即 objectRawDataStr: '*-UseBasicParsing*'。然後添加另一個首先檢查 objectRawDataStr: '*-UseBasicParsing*' 的過濾器。
使用完全匹配的確切值，而不是部分匹配。(objectFileHashMd5: "d41d8cd98f00b204e9800998ecf8427e")