创建包 API
编辑创建包 API编辑
[预览] 此功能处于技术预览阶段,可能会在未来版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能支持 SLA 的约束。 创建包。
路径参数编辑
-
空间 ID - (可选,字符串)空间标识符。如果 URL 中未提供
空间 ID,则使用默认空间。
请求正文编辑
-
名称 - (必填,字符串)包名称。
-
描述 - (可选,字符串)包描述。
-
启用 - (可选,布尔值)启用包。
-
策略 ID - (可选,数组)代理策略 ID 列表。
-
分片 - (可选,对象)包含包中策略的分片配置的对象。对于每个策略,将分片配置设置为目标主机的百分比 (1–100)。
-
查询 - (必填,对象)查询对象。
响应代码编辑
-
200 - 表示调用成功。
示例编辑
创建包
$ curl -X POST api/osquery/packs \
{
"name": "my_pack",
"description": "My pack",
"enabled": true,
"policy_ids": [
"my_policy_id",
"fleet-server-policy"
],
"shards": {
"my_policy_id": 35,
"fleet-server-policy": 58
},
"queries": {
"my_query": {
"query": "SELECT * FROM listening_ports;",
"interval": 60,
"timeout": 120,
"ecs_mapping": {
"client.port": {
"field": "port"
},
"tags": {
"value": [
"tag1",
"tag2"
]
}
}
}
}
}
API 返回包对象
{
"data": {...}
}