これは表示したいもののチェックをオンにする。全て表示したいときは全てのチェックをオンにしておく(デフォルト状態)。全てオフにすると表示するものがないという不条理な設定になるので、それはできないようになっている。
上の例は、「ファイアウォールの動作(Action)がパケットの破棄(Blocked)、通信の方向(Direction)が外から内に入ってきたもの(Incoming)、プロトコル(Protocol)が TCP のものを抜き出して表示せよ」という設定である。
エディット・ボックスには抽出したいイベントの内容を数値や文字列で設定する。また除外したいイベントを設定することもできる。基本的に除外を指定する場合は頭に「!」(感嘆符)を付ける。ただし Application Name と Rule Name の場合は、頭に「!/」(感嘆符+スラッシュ)を付ける(感嘆符がパス文字列に使用できる文字のためスラッシュで区別する必要がある)。
Time
時間を指定する。現時点(フィルタ実行時点のシステム時間)からさかのぼって何時間か?という意味になっている。例えば一日分のデータを抽出するときは、上図のように「24」(時間)を設定する。「-」で範囲指定、「!」で除外指定も可能。範囲指定の場合、「24-」のように片側が空欄のときは、後ろは最古の記録まで、前は現時点(「0」または範囲指定なしと同じ)になる。
<除外>
「!24」 = ここ 24 時間のデータを除く
<範囲指定>
「24-48」 = 48 時間前 〜 24 時間前
「48-」 = 最古のデータ 〜 48 時間前
IP
表示したい IP アドレス、または除外したい IP アドレスを設定する。上図の Remote IP の例のように途中のドットまでで省略すると、範囲指定になる。「!」で除外。
<除外>
「!255.255.255.255」 = 255.255.255.255 のブロードキャストは表示しない
<範囲指定>
「192.168.0.」 = 192.168.0.0 - 192.168.0.255
Port
「-」で範囲指定、「!」で除外指定が可能。範囲指定の場合、「-5000」のように片側が空欄のときは、前は 0、後ろは 65535 になる(ポートの USHORT 有効範囲)。
<除外>
「!80」 = 80 は表示しない
<範囲指定>
「135-139」
「-5000」 = 0 - 5000
App Name & Rule Name
表示したいまたは除外したい文字列を指定する。文字列中に含まれる一部を指定しても良い。ただしケース・センシティブ(大文字・小文字の区別があること)である。除外書式は頭に「!/」を付ける。
<文字列検索>
「ftp.exe」 = 「ftp.exe」を含むものだけ表示する
<除外>
「!/Block_all」 = 「Block_all」を含むものは表示しない