创建包 API
编辑创建包 API
编辑[预览] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 约束。 创建包。
路径参数
编辑-
space_id - (可选,字符串)空间标识符。当 URL 中未提供
space_id时,将使用默认空间。
请求体
编辑-
name - (必需,字符串)包名称。
-
description - (可选,字符串)包描述。
-
enabled - (可选,布尔值)启用该包。
-
policy_ids - (可选,数组)代理策略 ID 列表。
-
shards - (可选,对象)一个对象,其中包含包中包含的策略的分片配置。对于每个策略,将分片配置设置为目标主机的百分比(1-100)。
-
queries - (必需,对象)查询对象。
响应代码
编辑-
200 - 指示成功调用。
示例
编辑创建包
$ curl -X POST api/osquery/packs \
{
"name": "my_pack",
"description": "My pack",
"enabled": true,
"policy_ids": [
"my_policy_id",
"fleet-server-policy"
],
"shards": {
"my_policy_id": 35,
"fleet-server-policy": 58
},
"queries": {
"my_query": {
"query": "SELECT * FROM listening_ports;",
"interval": 60,
"timeout": 120,
"ecs_mapping": {
"client.port": {
"field": "port"
},
"tags": {
"value": [
"tag1",
"tag2"
]
}
}
}
}
}
API 返回包对象
{
"data": {...}
}