New

The executive guide to generative AI

Read more
About usPartnersSupport|Login
« 创建已保存查询 API 删除已保存查询 API »
Elastic 文档 Kibana 指南 [8.17] REST API Osquery 管理器 API

更新已保存查询 API

编辑

更新已保存查询 API

编辑

新的 API 参考

有关最新的 API 详细信息,请参阅 Osquery API

[预览] 此功能为技术预览版,可能会在未来版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。 更新已保存的查询。

您无法更新预构建的已保存查询 (prebuilt = true)。

请求

编辑

PUT <kibana 主机>:<端口>/api/osquery/saved_queries/<id>

PUT <kibana 主机>:<端口>/s/<空间 ID>/api/osquery/saved_queries/<id>

路径参数

编辑
space_id
(可选,字符串) 空间标识符。当 URL 中未提供 space_id 时,将使用默认空间。
id
(必需,字符串) 您要更新的已保存查询的 ID。

请求主体

编辑
id
(必需,字符串) 已保存查询的名称。
description
(可选,字符串) 已保存查询的描述。
platform
(可选,字符串) 将查询限制为指定平台。默认值为所有平台。要指定多个平台,请使用逗号。例如,linux,darwin
query
(必需,字符串) 您要运行的 SQL 查询。
version
(可选,字符串) 在大于或等于指定版本字符串的 Osquery 版本上运行。
interval
(可选,整数) 运行查询的间隔(以秒为单位)。
ecs_mapping
(可选,对象) 将 Osquery 结果列或静态值映射到 ECS 字段。

响应代码

编辑
200
表示调用成功。

示例

编辑

更新已保存查询 <my_saved query> 的名称

$ curl -X PUT api/osquery/saved_queries/<id> \
{
  "id": "updated_my_saved_query_name",
}
Copy as curl 

API 返回已保存查询的已保存对象

{
    "data": {...}
}
« 创建已保存查询 API 删除已保存查询 API »

On this page

Was this helpful?
Feedback