响应操作历史记录

Elastic Stack Serverless Security

Elastic Security 会记录在端点上执行的响应操作的日志，例如隔离主机或终止进程。该日志会显示每个命令的执行时间、执行操作的主机、请求操作的用户、添加到操作的任何注释以及操作的当前状态。

要访问所有端点的响应操作历史记录，请在导航菜单中找到 响应操作历史记录 或使用全局搜索字段。您还可以从以下区域访问单个端点的响应操作历史记录

• 端点页面：单击端点的名称以打开详细信息弹出框，然后单击 响应操作历史记录 选项卡。
• 响应控制台页面：单击 响应操作历史记录 按钮。

所有这些上下文都包含相同的信息和功能。下图显示了所有端点的 响应操作历史记录 页面

×

要筛选和展开响应操作历史记录中的信息

• 在搜索字段中输入用户名或以逗号分隔的用户名列表，以显示这些用户请求的操作。

• 使用各种下拉菜单来筛选显示的操作

  • 主机：显示在特定端点上执行的操作。（仅在所有端点的 响应操作历史记录 页面上可用。）
  • 操作：显示特定操作类型。
  • 状态：显示具有特定状态的操作。
  • 类型：根据端点保护代理类型（Elastic Defend 或第三方代理）以及操作的触发方式（由用户手动触发或由检测规则自动触发）显示操作。

• 使用日期和时间选择器来显示特定时间范围内的操作。

• 单击右侧的展开箭头以显示有关操作的更多详细信息。