device_id などの数値フィールドの検索は、文字列の値を持つフィールドとは異なる方法で処理されます。これは、Lucene が数値フィールドのワイルドカードを処理する方法に関係しています。
| クエリ | 機能しますか? |
|---|---|
process_pid:1234 |
はい |
-process_pid:1234 |
はい |
process_pid:[* TO *] |
はい |
-process_pid:[* TO *] |
はい |
process_pid:* |
いいえ |
-process_pid:* |
いいえ |
次の表に、ワイルドカード検索で範囲値を必要とするすべての数値フィールドを示します。
childproc_cmdline_length |
childproc_count |
crossproc_count |
device_group_id |
device_id |
device_policy_id |
event_threat_score |
fileless_scriptload_cmdline_length |
filemod_count |
ingress_time |
modload_count |
netconn_count |
netconn_port |
parent_cmdline_length |
parent_pid |
process_cmdline_length |
process_duration |
process_pid |
regmod_count |
report_severity |
scriptload_count |
これらは、このように動作しない数値を含むフィールドです(ワイルドカード値として単純な * を使用できます)。これらのフィールドは、実際には整数ではなく文字列として保存されます。
device_idevent_idevent_threat_scorenetconn_portprocess_product_versionreport_severity
