このトピックでは、パス フィールドの SID を検索する方法について説明します。
シナリオ:次のパスで regmod を確認し、この種類のアクティビティがどの程度広がっているかを確認するために検索範囲を広げたいと考えています。
HKU\S-1-5-21-2026673255-220522396-2254535319-29544\AppEvents\Schemes\Apps\devenv
| 機能する | regmod_name:HKU\\S-1-5-21-2026673255-220522396-2254535319-29544\\AppEvents\\Schemes\\Apps\\devenv |
| 機能する | regmod_name:HKU/S-1-5-21-2026673255-220522396-2254535319-29544/AppEvents/Schemes/Apps/devenv |
| 機能する | regmod_name:HKU*/AppEvents/Schemes/Apps/devenv |
| 機能する | regmod_name:HKU/*/AppEvents/Schemes/Apps/devenv AND regmod_name:S-1-5-21-2026673255-220522396-2254535319-* |
| 機能する | regmod_name:HKU/S-1-5-21-2026673255-220522396-2254535319-*/AppEvents/Schemes/Apps/devenv |
| 機能する | regmod_name:HKU/S-1-5-21-* AND regmod_name:AppEvents/Schemes/Apps/devenv |
| 機能しない | regmod_name:HKU/S-1-5-21-2026673255-220522396-2254535319-29544 |
注:
- プラットフォーム検索では、先頭のバックスラッシュが削除されます。これをクエリ値に含めないでください。
- パス フィールドの場合、プラットフォーム検索はパス内のすべてのバックスラッシュをフォワード スラッシュに正規化します(Windows と POSIX オペレーティング システムは異なるアプローチをとるため、効率化のために正規化します)。バックスラッシュを含める場合は、エスケープする必要があります。
