在 Osquery 查询中使用占位符字段

Elastic Stack 无服务器安全

您可以使用占位符字段动态地将数据传递到查询中，而不用将警报和事件值硬编码到 Osquery 查询中。占位符字段的功能类似于参数。您可以使用占位符字段来构建灵活和可重用的查询。

占位符字段可以在单个查询或查询包中使用。以下功能也支持它们：

• 实时查询
• Osquery 响应操作
• 使用 Osquery 查询的调查指南

占位符字段使用 mustache 语法，并且必须用双花括号括起来 ({{example.field}})。您可以将事件或警报文档中的任何字段用作占位符字段。

带有占位符字段的查询只能针对警报或事件运行。 否则，它们将缺少必要的值，并且查询状态将为 error。

以下查询使用 {{host.name}} 占位符字段

SELECT * FROM os_version WHERE name = {{host.os.name}}

运行查询时，存储在警报或事件的 host.name 字段中的值将传递到 {{host.os.name}} 占位符字段。