Búsqueda y métodos de filtrado
HOWTO128900
Last Updated September 27, 2018
readonly
Symantec Advanced Threat Protection (ATP) proporciona varios métodos para buscar y filtrar datos. Tabla: Búsqueda y métodos de filtrado enumera y describe brevemente cada método. Haga clic en el nombre del método para ver la sintaxis de consulta y los ejemplos del método.
Tabla: Búsqueda y métodos de filtrado
| Método |
Descripción |
||
|---|---|---|---|
| Filtros previamente definidos para los datos buscados de manera habitual. |
|||
| Devolver o excluir los datos basado únicamente en un valor, sin importar los campos con que el valor aparece. |
|||
| Devolver o excluir los datos que coinciden exactamente con los nombres de campo y sus valores. |
|||
| Devolver o excluir los datos comprendidos entre dos valores especificados de un campo determinado. |
|||
| Devolver o excluir los datos que coinciden con una expresión regular.
|
|||
| Devuelve los datos en función de la presencia o ausencia de un campo determinado. |
|||
| Devolver o excluir datos basados en los valores específicos para un campo determinado. |
|||
| Dos o más de los anteriores métodos de búsqueda que, cuando se combinan, pueden crear consultas de prácticamente cualquier complejidad. |
Ejemplo de conjunto de datos
Tres registros se utilizan para los ejemplos en esta sección, cada uno con los mismos campos, pero con diferentes valores.Tabla: Ejemplos de conjunto de datos enumera los registros y los datos que se usan en los ejemplos.
Nota: |
Un guion ("-") indica que el campo no está presente en el registro. |
Tabla: Ejemplos de conjunto de datos
Filtros rápidos
Filtros rápidos son las búsquedas predefinidas para las detecciones y los datos buscados habitualmente. Los filtros rápidos disponibles dependen del tipo de búsqueda que realiza; base de datos, entidades, endpoint, etc. Los filtros rápidos disponibles para un tipo de búsqueda determinada aparecen en el cuadro de diálogo Add filter (Agregar filtro). Es posible seleccionar filtros rápidos desde el cuadro de diálogo emergente o incorporar manualmente el nombre de un filtro rápido en la barra del filtro de búsqueda.
Ver Funciones de búsqueda y registro de ATP Manager.
Nota: |
Los filtros rápidos no se admiten para Internet Explorer. Use Firefox o Chrome para usar la funcionalidad de filtro rápido. |
Sintaxis
quick:"<quick_filter_value>"
Nota: |
El valor para el filtro rápido debe incluirse entre comillas. |
Ejemplo
Consulta: quick:"Get File"
Tabla: Resultados de la consulta del filtro rápido:"Get File"
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4128 |
automation@somewhere.com |
Cambridge, OH |
- |
get_file |
Formato libre
Las búsquedas de formato libre son búsquedas aproximadas: los resultados son coincidencias aproximadas en función de la cadena de consulta. Las advertencias siguientes se aplican a las búsquedas de formato libre:
Los resultados reflejan cualquier evento que contiene el valor especificado.
Los valores que contienen espacios o dos puntos deben incluirse entre comillas.
Los valores de fecha no funcionan en las búsquedas de formato libre. Por ejemplo, las siguientes acciones no están permitidas:
Para obtener más información sobre búsquedas basadas en el tiempo, consulte Coincidencia exacta.
Los datos del tipo texto distinguen entre mayúsculas y minúsculas. Datos del tipo palabra clave distinguen entre mayúsculas y minúsculas.
Sintaxis
value_query
Ejemplo A
Consulta: cambridge
Tabla: Resultados de la consulta de formato libre: cambridge
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4118 |
sender111@someplace.com |
Cambridge, MA |
- |
- |
| 4125 |
- |
Cambridge, CA |
2018-03-23T00:00:01.733Z |
- |
Ejemplo B
Consulta: 41*
Tabla: Resultados de la consulta de formato libre: 41*
Ejemplo C
Consulta: -cambridge
El signo menos antes del valor invierta la consulta de incluir a excluir. Esta consulta, por lo tanto, devuelve todos los documentos que no contienen un valor Cambridge en cualquier campo.
Tabla: Resultados de la consulta de formato libre: -cambridge
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| -cambridge |
No hay resultados |
No hay resultados |
No hay resultados |
No hay resultados |
Coincidencia exacta
El método de búsqueda de coincidencia exacta devuelve solamente esos registros que coinciden perfectamente con los field:value parámetros que especifica.
Sintaxis: field:value
Las advertencias siguientes se aplican a las búsquedas de coincidencia exacta:
Los campos distinguen entres mayúsculas y minúsculas.
Los valores que contienen espacios o dos puntos deben incluirse entre comillas.
Ejemplo A
Consulta: type_id: 4118
Tabla: Resultados para la consulta de coincidencia exacta type_id: 4118
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4118 |
sender111@someplace.com |
Cambridge, MA |
- |
- |
Ejemplo B
Consulta: location:"Cambridge, CA"
Tabla: Resultados para la consulta de coincidencia exacta location:"Cambridge, CA"
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4125 |
- |
Cambridge, CA |
2018-03-23T00:00:01.733Z |
- |
Ejemplo C
Consulta: -type_id: 4118
El signo menos antes del valor invierta la consulta de incluir a excluir. Esta consulta, por lo tanto, devuelve todos los documentos que no contiene el valor "4118" en el campo "type_id".
Tabla: Resultados para la consulta de coincidencia exacta -type_id: 4118
Intervalo
Las búsquedas de intervalo le permiten buscar los valores que aparecen dentro de un intervalo numérico específico.
Sintaxis: > field:{<gte> TO <lte>}
<gte> = "mayor o igual que" y <lte> = "menor o igual que". Reemplace <gte> o <gte> con '*' para indicar que no hay un límite superior o inferior. Por ejemplo, {* TO *} devuelve todos los valores para el campo.
Nota: |
No se admite la expresión regular para <gte> o elementos <lte>. Por ejemplo, age:{3 TO 10} funciona, pero age:{10 TO 3*} no lo hace. |
Ejemplo A
Consulta: type_id: {4000 TO *}
Tabla: Resultados de la consulta de intervalos: type_id: {4000 TO *}
Ejemplo B
Las consultas de intervalos también funcionan con texto. El texto se somete a pruebas léxicamente (alfabética progresivo) para la inclusión en el rango.
Consulta: location: {"Cambridge, CA" TO "Cambridge, OH" }
Tabla: Resultados de la consulta de intervalos: location: {"Cambridge, CA" TO "Cambridge, OH" }
Ejemplo C
Consulta: -type_id: {* TO 4118}
El signo menos antes del valor invierta la consulta de incluir a excluir. Esta consulta, por lo tanto, devuelve todos los documentos que no contienen valores comprendidos entre "0 y 4118" en el campo "type_id".
Tabla: Resultados de la consulta de intervalos: -type_id: {* TO 4118}
Expresión regular
Las búsquedas de expresiones regulares le permiten usar expresiones regulares para probar los valores de campo a fin de incluirlos en los resultados de búsqueda.
Nota: |
ATP usa un subconjunto de las funciones de expresión regular de Pearl. Consulte https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-query.html#regexp-syntax para obtener información sobre las funciones admitidas. Las consultas de la expresión regular solo funcionan en los campos palabra clave y texto. |
Sintaxis: field:/<regex_pattern>/
Ejemplo A
Consulta: email_address:/.*some.*/
Tabla: Resultados de la consulta de expresión regular: email_address:/.*some.*/
Ejemplo B
Consulta: email_address:/.*some(one|place).*/
Tabla: Resultados de la consulta de expresión regular: email_address:/.*some(one|place).*/
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4125 |
sender111@someplace.com |
Cambridge, MA |
- |
- |
Consulta: -command_name:/.*/
El signo menos antes del valor invierta la consulta de incluir a excluir. Esta consulta, por lo tanto, devuelve todos los documentos que no coinciden con la expresión regular command_name:/.*/
Tabla: Resultados de la consulta de expresión regular: -command_name:/.*/
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4118 |
sender111@someplace.com |
Cambridge, MA |
- |
- |
| 4125 |
- |
Cambridge, CA |
2018-03-23T00:00:01.733Z |
- |
Contenido
La consulta "exists" busca registros que contengan (o no) un campo específico.
Sintaxis: exists:field
Ejemplo A
Consulta: exists:command_name
Tabla: Resultados de la consulta exists: exists:command_name
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4128 |
automation@somewhere.com |
Cambridge, OH |
- |
get_file |
Ejemplo B
Consulta: -exists:email_address
El signo menos antes del valor invierta la consulta de incluir a excluir. Esta consulta, por lo tanto, devuelve todos los documentos que no incluyen el campo email_address
Tabla: Resultados de la consulta exists: -exists:email_address
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4125 |
- |
Cambridge, CA |
2018-03-23T00:00:01.733Z |
- |
Uno de
Las búsquedas "uno de" permiten buscar diferentes valores para un campo determinado.
Sintaxis: field:[<value> OR <value> ...]
Nota: |
Es posible agregar valores adicionales para ampliar la búsqueda. |
Ejemplo A
Consulta: type_id:[4118]
Tabla: Resultados de la consulta "uno de": type_id:[4118]
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4118 |
sender111@someplace.com |
Cambridge, MA |
- |
- |
Ejemplo B
Consulta: type_id:[4118 OR 4125]
Tabla: Resultados de la consulta "uno de": type_id:[4118 OR 4125]
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4118 |
sender111@someplace.com |
Cambridge, MA |
- |
- |
| 4125 |
- |
Cambridge, CA |
2018-03-23T00:00:01.733Z |
- |
Ejemplo C
Consulta: -type_id:[4118 OR 4125]
El signo menos antes del valor invierta la consulta de incluir a excluir. Esta consulta, por lo tanto, devuelve todos los documentos que no incluyen el type_id "4118" o "4125"
Tabla: Resultados de la consulta "uno de": -type_id:[4118 OR 4125]
| type_id (integer) |
email_address (keyword) |
location (text) |
received_date (date) |
command_name (keyword) |
|---|---|---|---|---|
| 4128 |
automation@somewhere.com |
Cambridge, OH |
- |
get_file |
Compleja
Las consultas complejas contienen dos o más de los otros métodos de búsqueda.
Sintaxis: ( <SEARCH_METHOD> <AND | OR> <SEARCH_METHOD> ) ...
Nota: |
Es posible agregar otras funciones de búsqueda (con sus campos y valores) para lograr el nivel deseado de especificidad. Use paréntesis para configurar el orden de precedencia para la búsqueda. |
Ejemplo
Consulta: (quick:"Get File" AND -type_id:{4118 TO 4125})
Este ejemplo combina un filtro rápido y una consulta de intervalos en una sola consulta compleja. El signo menos antes de un intervalo invierte la consulta.
Legacy ID:
v126845607_v127312507
La suscripción proporcionará actualizaciones por correo electrónico cuando se actualice este artículo. Es necesario iniciar sesión.
Suscrito al artículo
Unable to subscribe
Gracias por sus comentarios.
Enterprise Support Virtual Agent
Rate Me :
Tell us more:
Welcome! My name is Sami, the Enterprise Support Virtual Agent answering technical support questions.
Start Over
This will clear the history and restart the chat.
Gracias por sus comentarios. Háganos saber a continuación si tiene comentarios adicionales. (requiere inicio de sesión)