更新已保存查询 API
编辑更新已保存查询 API编辑
[预览] 此功能处于技术预览阶段,可能会在未来版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。 更新已保存查询。
您无法更新预构建的已保存查询(prebuilt = true)。
请求编辑
PUT <kibana 主机>:<端口>/api/osquery/saved_queries/<id>
PUT <kibana 主机>:<端口>/s/<空间 ID>/api/osquery/saved_queries/<id>
路径参数编辑
-
空间 ID - (可选,字符串)空间标识符。如果 URL 中未提供
空间 ID,则使用默认空间。 -
id - (必填,字符串)要更新的已保存查询的 ID。
请求正文编辑
-
id - (必填,字符串)已保存查询名称。
-
描述 - (可选,字符串)已保存查询的描述。
-
平台 - (可选,字符串)将查询限制在指定的平台。默认值为*所有*平台。要指定多个平台,请使用逗号分隔。例如,*linux,darwin*。
-
查询 - (必填,字符串)要运行的 SQL 查询。
-
版本 - (可选,字符串)在 Osquery 版本大于或等于指定版本字符串的版本上运行。
-
间隔 - (可选,整数)运行查询的间隔(以秒为单位)。
-
ecs_mapping - (可选,对象)将 Osquery 结果列或静态值映射到 ECS 字段。
响应代码编辑
-
200 - 表示调用成功。
示例编辑
更新 <my_saved query> 已保存查询的名称
$ curl -X PUT api/osquery/saved_queries/<id> \
{
"id": "updated_my_saved_query_name",
}
API 返回已保存查询保存的对象
{
"data": {...}
}