端点
Elastic Stack Serverless Security
通过“端点”页面,管理员可以查看和管理正在运行 Elastic Defend 集成的端点。
- 必须在 Kibana 空间中启用 Fleet,管理操作才能正常工作。
- 您必须拥有 端点列表 权限 或适当的用户角色才能访问此功能。
端点列表会显示运行 Elastic Defend 的所有主机及其相关的集成详情。端点按时间顺序显示,新添加的端点位于顶部。
端点列表提供以下数据
端点:系统主机名。点击该链接,在浮出框中显示端点详情。
代理状态:Elastic Agent 的当前状态,可以是以下状态之一
Healthy:代理在线并与 Kibana 通信。Unenrolling:代理当前正在取消注册,很快将从 Fleet 中移除。之后,端点也将卸载。Unhealthy:代理在线,但需要管理员注意,因为它报告进程存在问题。不健康状态可能意味着升级失败并回滚到之前的版本,或者集成可能缺少先决条件或其他配置。有关解决不健康代理状态的更多信息,请参阅 排查 Elastic Defend 问题。Updating:代理在线,并且正在更新代理策略或二进制文件,或者正在注册或取消注册。Offline:代理仍在注册,但可能位于已关闭或当前无法访问互联网的计算机上。在这种状态下,代理不再以常规的时间间隔与 Kibana 通信。注意Fleet 中的 Elastic Agent 状态与 Elastic Security 应用程序中的代理状态相对应。
策略:安装代理时关联的集成策略的名称。点击该链接,显示集成策略详情页面。
策略状态:指示是否成功应用集成策略。点击该链接,在浮出框中查看策略状态响应详情。
操作系统:主机操作系统。
IP 地址:与主机名关联的所有 IP 地址。
版本:当前运行的 Elastic Agent 版本。
上次活动时间:Elastic Agent 上次活动的时间日期和时间戳。
操作:选择上下文菜单 (…) 以执行以下操作
点击 端点 列中的任何链接,在浮出框中显示主机详情。您还可以使用 采取操作 菜单按钮执行与“操作”上下文菜单中列出的相同的操作,例如隔离主机、查看主机详情以及查看或重新分配代理策略。
端点详情浮出框还包括 响应操作历史 选项卡,其中提供了在端点上执行的响应操作的日志,例如隔离主机或终止进程。您可以使用顶部的工具来过滤此视图中显示的信息。有关更多详细信息,请参阅 响应操作历史记录。
要查看集成策略页面,请点击 策略 列中的链接。如果您正在查看主机详情,您还可以点击浮出框上的 策略 链接。
在此页面上,您可以查看和配置端点保护和事件收集设置。右上角是关键绩效指标 (KPI),可提供当前的端点状态。如果您需要更新策略,请根据需要进行更改,然后点击 保存 按钮以应用新更改。
用户必须具有读取/写入 Fleet API 的权限才能更改配置。
具有独特配置和安全要求的用户可以选择 显示高级设置 来配置策略以支持高级用例。将鼠标悬停在每个设置上以查看其描述。
不建议大多数用户使用高级设置。
集成策略的状态显示在 策略状态 列中,并显示以下状态之一
Success:策略已成功应用。Warning或Partially Applied:策略正在等待应用,或者策略未完全应用。注意在某些情况下,在策略应用期间,在端点上执行的操作可能会失败,但这些情况并非关键失败,这意味着可能存在失败,但端点仍然受到保护。在这种情况下,策略状态将显示为“部分应用”。
Failure:策略未正确应用,并且端点未受到保护。Unknown:用户界面正在等待 API 响应返回,或者,在极少数情况下,API 返回了未定义的错误或值。
有关导致策略状态的更多详细信息,请点击 策略状态 列中的链接,然后查看详细信息浮出框。展开每个部分和子部分以显示来自代理的各个响应。
如果您需要帮助排查配置故障,请参阅 排查 Elastic Defend 问题 和 常见问题。
要筛选端点列表,请使用搜索栏,并使用 Kibana 查询语言 (KQL) 输入查询。要刷新搜索结果,请单击 刷新。
页面右侧的日期和时间选择器允许您设置一个时间间隔,以自动刷新端点列表 - 例如,检查是否添加或删除了新的端点。