Die Web Reports verwenden die Apache Lucene Query Parser-Syntax, die Feld:Wert-Paare für die Kernsyntax verwendet. Die folgenden Beispiele veranschaulichen die gebräuchlichste Syntax anhand von Beispielen.
Alle Ereignisse vom Security Ereignisprotokoll:
|
log:Security |
Events from the "Security" event log |
Sie können nach unterschiedlichen Werten des gleichen Feldes suchen, indem Sie die Werte innerhalb einer Klammer gruppieren:
|
log:(Application OR System) |
Events from either the Application or System event log |
Durchsuchen Sie mehrere Felder, indem Sie sie mit dem logischen Operator AND oder OR kombinieren:
|
log:Application AND source:EventSentry |
Events from the Application event log with event source "EventSentry" |
Schließen Sie Ergebnisse aus, indem Sie ihnen ein Minus voranstellen:
|
log:Security AND id:(-5447) |
Events from the Security event log except events with event id 5447 |
Verwenden Sie den Platzhalter ?, um ein einzelnes Zeichen abzugleichen, verwenden Sie den Platzhalter *, um 0 oder mehr Zeichen abzugleichen:
|
log:Security AND category:Process* |
Events from the Security event log with any category that starts with "Process" |
Verwenden Sie Anführungszeichen, wenn Sie nach Textzeichenfolgen suchen, die ein oder mehrere Leerzeichen enthalten:
|
log:Security AND category:"Process Creation" |
Events from the Security event log with category "Process Creation" |
Der Feldname kann bei der Suche im Standardfeld weggelassen werden (z. B. die Ereignismeldung bei der Suche im Ereignisprotokoll):
|
*john.johnson* OR *jack.jackson* |
Events containing "john.johnson" or "jack.jackson" |
Beschränken Sie numerische Felder auf einen Wertebereich mit Klammern:
|
log:Security AND id:[4727 TO 4730] |
Ereignisse für Gruppenwechsel global sicherheitsrelevanter Gruppen |
|
name:"Applications*CPU" AND value:[5 TO *] |
Leistungsstatus: Listet alle Prozesse auf, die eine CPU-Auslastung von 5% oder mehr haben |
