« 删除包 API 获取已保存查询 API »
Elastic 文档 Kibana 指南 [8.17] REST API Osquery 管理器 API

获取已保存查询 API

编辑

获取已保存查询 API

编辑

新 API 参考

有关最新的 API 详细信息,请参阅 Osquery API

[预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。 通过 ID 检索单个已保存的查询。

请求

编辑

GET <kibana host>:<port>/api/osquery/saved_queries/<id>

GET <kibana host>:<port>/s/<space_id>/api/osquery/saved_queries/<id>

路径参数

编辑
space_id
(可选,字符串)空间标识符。当 URL 中未提供 space_id 时,将使用默认空间。
id
(必需,字符串)要检索的已保存查询的 ID。

响应代码

编辑
200
表示调用成功。
404
指定的已保存查询和 ID 不存在。

示例

编辑

检索 ID 为 42ba9c50-0cc5-11ed-aa1d-2b27890bc90d 的已保存查询对象

$ curl -X GET api/osquery/saved_queries/42ba9c50-0cc5-11ed-aa1d-2b27890bc90d

API 返回已保存的查询对象

{
  "data": {
    "id": "42ba9c50-0cc5-11ed-aa1d-2b27890bc90d",
    "type": "osquery-saved-query",
    "namespaces": [
      "default"
    ],
    "updated_at": "2022-07-26T09:28:08.600Z",
    "version": "WzQzMTcsMV0=",
    "attributes": {
      "id": "saved_query_id",
      "description": "Saved query description",
      "query": "select * from uptime;",
      "platform": "linux,darwin",
      "version": "2.8.0",
      "interval": "60",
      "ecs_mapping": {
        "host.uptime": {
          "field": "total_seconds"
        }
      },
      "created_by": "elastic",
      "created_at": "2022-07-26T09:28:08.597Z",
      "updated_by": "elastic",
      "updated_at": "2022-07-26T09:28:08.597Z",
      "prebuilt": false
    },
    "references": [],
    "coreMigrationVersion": "8.4.0"
  }
}
« 删除包 API 获取已保存查询 API »