このセクションでは、特定のデータ タイプを検索する方法について説明します。 次に参照するドキュメント IP アドレス範囲の検索このトピックでは、IP アドレス範囲を検索する方法について説明します。 ドット付きトークンの検索このトピックでは、ドット付きトークンを検索する方法について説明します。 パス内のサブフォルダの検索このトピックでは、パス内のサブフォルダを検索する方法について説明します。 大きなトークンの部分文字列の検索このトピックでは、大きなトークンの部分文字列を検索する方法について説明します。 GUID、SID、および部分文字列を含むパスの検索プラットフォーム検索では、パス フィールドの特定の高カーディナリティ データを特別に処理できます。 パス フィールドの GUID の検索このトピックでは、パス フィールドの GUID を検索する方法について説明します。 パス フィールドの SID の検索このトピックでは、パス フィールドの SID を検索する方法について説明します。 トークン化を利用した部分文字列の検索このトピックでは、トークン化された検索フィールドについて説明します。 トークン化に関する FAQこのトピックでは、トークン化についてよく寄せられる質問に対する回答を提供します。 ワイルドカードを使用した cmdline フィールドの検索cmdline フィールド (process_cmdline、childproc_cmdline、parent_cmdline、fileless_scriptload_cmdline) は、他のフィールドと同様に単一語句のワイルドカードをサポートします。 コマンド ラインと正規表現インタプリタの回避このトピックでは、コマンド ラインで正規表現インタプリタを回避する方法について説明します。 ワイルドカードと複数の値を使用した数値フィールドの検索device_id などの数値フィールドの検索は、文字列の値を持つフィールドとは異なる方法で処理されます。これは、Lucene が数値フィールドのワイルドカードを処理する方法に関係しています。 ファイル拡張子の検索このトピックでは、ファイル拡張子を検索する方法について説明します。 Filemod アクションの検索このトピックでは、filemod アクションの検索について説明します。 * _count フィールドでの範囲指定検索* _count フィールドの場合、制限付き検索にはすでに終了したプロセスのみが含まれます。無制限の検索には、すべてのプロセスが含まれます。 親トピック: 高度な検索技術
