Kommagetrennte Werte (nur Ereignisprotokoll-Filter)
Sie können mehrere Werte durch ein Komma trennen, um die Erstellung mehrerer Filter zu vermeiden. Kombinieren Sie einfach alle Werte, mit denen das Feld übereinstimmen soll, mit Kommas und stellen Sie sicher, dass Sie kein Leerzeichen nach oder vor dem Komma verwenden. Zum Beispiel:
Print,MrxSmb
Unterstützt von allen Feldern im Abschnitt "Details".
Negationssymbol (nur Ereignisprotokoll-Filter)
Sie können einen Wert verneinen, indem Sie ihn mit einem Ausrufezeichen voranstellen. Um beispielsweise alle Ereignisse mit Ausnahme der Ereignisse mit der "Print" Source abzugleichen, könnten Sie Folgendes verwenden:
or
!*Print*
|
Kombinieren Sie keine regulären Werte (Werte ohne das Negationszeichen) und Werte mit einem Negationszeichen (z.B. "!Print,MrxSmb" wird nicht unterstützt). |
Wildcards
Die Platzhalter * und ? werden unterstützt.
| * | entspricht null oder mehr Vorkommnissen eines beliebigen Zeichens |
| ? | entspricht einem Vorkommen eines beliebigen Zeichens |
|
Hinweis: Filterzeichenketten, egal ob sie Platzhalter enthalten oder nicht, sind niemals case-sensitiv. |
Beispiele
Filter mit wildcard |
Stimmt mit Text überein |
ipx* |
IPXCP IPXRIP IPXRouterManager IPXSAP |
*iptables*proto=??p*dpt=13* |
syslog@netikus-router[kern.debug]: kernel: IPTABLES INPUT: IN=ppp0 OUT= MAC= SRC=65.35.223.155 DST=65.41.63.146 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=54221 DF PROTO=TCP SPT=1429 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0 |
VMnet* |
VMnetAdapter VMnetBridge VMnetDHCP VMnetuserif |
*rip* |
IPRIP2 IPXRIP |
