检查 Osquery 结果
Elastic Stack 无服务器安全
Osquery 提供相关的、及时的数据,您可以使用这些数据来更好地理解和监控您的环境。 当您运行查询时,结果会被索引并显示在“结果”表中,您可以在其中进行过滤、排序和交互。
“结果”表显示单个查询和查询包的结果。
单个查询的结果会显示在“结果”选项卡上。 当您运行查询时,受查询的代理数量和查询状态会暂时显示在结果表上方的状态栏中。 代理响应可以是 Successful(成功)、Not yet responded(尚未响应)(待处理)和 Failed(失败)。
包中每个查询的结果都显示在“结果”选项卡中。 单击每个查询行最右侧的展开图标(
)以显示查询结果。 显示了已查询的代理数量及其响应。 代理响应使用颜色编码。 绿色表示 Successful(成功),灰色表示 Not yet responded(尚未响应)(待处理),红色表示 Failed(失败)。
从结果表中,您可以
单击 在 Discover 中查看(
)以在 Discover 中探索结果。单击 在 Lens 中查看(
)以导航到 Lens,您可以在其中使用拖放式 Lens 编辑器来创建可视化。单击 时间线(
)以在时间线中调查单个查询结果,或单击 添加到时间线调查 以调查所有结果。 此选项仅适用于单个查询结果。当您在时间线中打开所有结果时,时间线中的事件会根据 Osquery 查询生成的
action_ID进行过滤。单击 添加到案例(
)以将查询结果添加到新的或现有案例。 如果您从警报运行实时查询,则警报和查询结果会作为注释添加到案例中。注意如果将结果添加到新的案例,系统会提示您指定要在其中创建案例的解决方案。 确保选择正确的解决方案。 从 Elastic Security 中,您无法访问在 Observability 或 Stack Management 中创建的案例。
如果将结果添加到现有案例,您可以从在任何解决方案(Elastic Security、Observability 和 Elastic Stack)中创建的案例中进行选择。
单击查看详细信息图标(
)以检查查询 ID 和语句。通过打开“状态”选项卡,查看有关请求的更多信息,例如失败信息。