在 Osquery 查询中使用占位符字段
Elastic Stack Serverless Security
您可以直接将警报和事件值硬编码到 Osquery 查询中,也可以使用占位符字段动态地将这些数据传递到查询中。占位符字段的功能类似于参数。您可以使用占位符字段来构建灵活且可重用的查询。
占位符字段适用于单个查询或查询包。它们也受以下功能的支持:
占位符字段使用 mustache 语法,并且必须用双花括号括起来 ({{example.field}})。您可以使用事件或警报文档中的任何字段作为占位符字段。
带有占位符字段的查询只能针对警报或事件运行。否则,将缺少必要的值,查询状态将为error。
以下查询使用 {{host.name}} 占位符字段
SELECT * FROM os_version WHERE name = {{host.os.name}}
运行查询时,存储在警报或事件的 host.name 字段中的值将被传输到 {{host.os.name}} 占位符字段。