* _count フィールドの場合、制限付き検索にはすでに終了したプロセスのみが含まれます。無制限の検索には、すべてのプロセスが含まれます。
たとえば、「netconn_count:[1 TO 100]」を検索すると、センサーがprocess_terminated:trueで報告したプロセスから選択された結果が返されます。
比較して、「netconn_count:[1 TO *]」を検索すると、process_terminatedの状態に関係なく、すべてのプロセスの結果が返されます。
これは、次の検索フィールドに適用されます。
childproc_countcrossproc_countfilemod_countmodload_countprocess_countregmod_countscriptload_count
