この手順を使用して、データ フォワーダ フィルタのカスタム クエリを作成します。

前提条件

この手順では、以下を前提としています。
  • AWS S3 バケットがすでに作成および構成されている。
  • データ フォワーダが既に作成されている。
  • Lucene クエリ構文を構築する基本的な方法を理解している。

手順

  1. 基本フィルタを追加するデータ フォワーダにいることを確認します。必要な場合:
    1. 左側のナビゲーション ペインで [Settings (設定)] > [Data Forwarders (データ フォワーダ)] の順にクリックします。
    2. フィルタを追加するデータ フォワーダを選択し、Right carat (右カラット),を選択し、次に Edit (編集)を選択して、データ フォワーダを編集します。
  2. フィルタ データで、[Custom Query (カスタム クエリ)] を選択します。
  3. [Include (含む)]で、以下を実行します。
    1. [フィルタ ラベル]を追加します。
    2. Lucene クエリ構文を追加します。
  4. [除外] (AND NOT) で、以下を実行します。
    1. [フィルタ ラベル]を追加します。
    2. Lucene クエリ構文を追加します。
  5. 変更を[保存]します。

例: カスタム クエリ フィルタ

すべての procstart イベントとすべての netconn イベントがポート 443 に転送されます。ただし、プロセス パスが path\to\noisy\process.exe の場合は転送されません。

カスタム クエリ フィルタ フィールド