更新已保存查询 API
编辑更新已保存查询 API
编辑[预览] 此功能为技术预览版,可能会在未来版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。 更新已保存的查询。
您无法更新预构建的已保存查询 (prebuilt = true)。
请求
编辑PUT <kibana 主机>:<端口>/api/osquery/saved_queries/<id>
PUT <kibana 主机>:<端口>/s/<空间 ID>/api/osquery/saved_queries/<id>
路径参数
编辑-
space_id - (可选,字符串) 空间标识符。当 URL 中未提供
space_id时,将使用默认空间。 -
id - (必需,字符串) 您要更新的已保存查询的 ID。
请求主体
编辑-
id - (必需,字符串) 已保存查询的名称。
-
description - (可选,字符串) 已保存查询的描述。
-
platform - (可选,字符串) 将查询限制为指定平台。默认值为所有平台。要指定多个平台,请使用逗号。例如,linux,darwin。
-
query - (必需,字符串) 您要运行的 SQL 查询。
-
version - (可选,字符串) 在大于或等于指定版本字符串的 Osquery 版本上运行。
-
interval - (可选,整数) 运行查询的间隔(以秒为单位)。
-
ecs_mapping - (可选,对象) 将 Osquery 结果列或静态值映射到 ECS 字段。
响应代码
编辑-
200 - 表示调用成功。
示例
编辑更新已保存查询 <my_saved query> 的名称
$ curl -X PUT api/osquery/saved_queries/<id> \
{
"id": "updated_my_saved_query_name",
}
API 返回已保存查询的已保存对象
{
"data": {...}
}