端点
编辑端点
编辑“端点”页面允许管理员查看和管理运行 Elastic Defend 集成 的端点。
端点列表
编辑端点 列表显示所有运行 Elastic Defend 的主机及其相关的集成详细信息。端点按时间顺序显示,新添加的端点位于顶部。
端点列表提供以下数据
- 端点:系统主机名。点击链接可在浮层中显示 端点详细信息。
-
代理状态:Elastic Agent 的当前状态,以下列出:
-
健康:代理在线并与 Kibana 通信。 -
取消注册:代理当前正在取消注册,并将很快从 Fleet 中移除。之后,端点也将卸载。 -
不健康:代理在线,但由于报告进程存在问题,需要管理员关注。不健康状态可能意味着升级失败并回滚到其先前版本,或者集成可能缺少先决条件或其他配置。有关解决不健康代理状态的更多信息,请参阅 端点管理故障排除。 -
更新中:代理在线并正在更新代理策略或二进制文件,或正在注册或取消注册。 -
离线:代理仍已注册,但可能位于已关闭或当前没有互联网访问权限的机器上。在这种状态下,代理不再定期与 Kibana 通信。Fleet 中的 Elastic Agent 状态对应于 Elastic Security 应用中的代理状态。
-
- 策略:安装代理时关联的集成策略的名称。点击链接可显示 集成策略详细信息 页面。
- 策略状态:指示是否已成功应用集成策略。点击链接可在浮层中查看 策略状态 响应详细信息。
- 操作系统:主机的操作系统。
- IP 地址:与主机名关联的所有 IP 地址。
- 版本:当前正在运行的 Elastic Stack 版本。
- 上次活动时间:Elastic Agent 上次活动的时间和日期戳。
-
操作:选择上下文菜单(…)以执行以下操作
端点详细信息
编辑点击 端点 列中的任何链接,可在浮层中显示主机详细信息。您还可以使用 执行操作 菜单按钮执行与操作上下文菜单中列出的操作相同的操作,例如隔离主机、查看主机详细信息以及查看或重新分配代理策略。
响应操作历史记录
编辑端点详细信息浮层还包括 响应操作历史记录 选项卡,该选项卡提供在端点上执行的 响应操作(例如隔离主机或终止进程)的日志。您可以使用顶部的工具过滤在此视图中显示的信息。有关更多详细信息,请参阅 响应操作历史记录。
集成策略详细信息
编辑要查看集成策略页面,请点击 策略 列中的链接。如果您正在查看主机详细信息,也可以点击浮层上的 策略 链接。
在此页面上,您可以查看和配置端点保护和事件收集设置。右上角是提供当前端点状态的关键绩效指标 (KPI)。如果您需要更新策略,请根据需要进行更改,然后点击 保存 按钮以应用新更改。
用户必须具有对 Fleet API 的读/写权限才能对配置进行更改。
具有独特配置和安全要求的用户可以选择 显示高级设置 以配置策略以支持高级用例。将鼠标悬停在每个设置上以查看其描述。
对于大多数用户,不建议使用高级设置。
策略状态
编辑策略状态 列中显示的集成策略状态将显示以下内容之一
-
成功:策略已成功应用。 -
警告或部分应用:策略正在等待应用,或者策略未完全应用。在某些情况下,在策略应用期间,对端点执行的操作可能会失败,但这些情况不是严重故障 - 意味着可能存在故障,但端点仍受到保护。在这种情况下,策略状态将显示为“部分应用”。
-
失败:策略未正确应用,端点不受保护。 -
未知:用户界面正在等待 API 响应返回,或者在极少数情况下,API 返回了未定义的错误或值。
有关导致策略状态的原因的更多详细信息,请点击 策略状态 列中的链接并查看详细信息浮层。展开每个部分和小节以显示代理的单个响应。
如果您需要帮助排查配置故障,请参阅 端点管理故障排除 和 Fleet 故障排除。
筛选端点
编辑要筛选端点列表,请使用搜索栏输入使用 Kibana 查询语言 (KQL) 的查询。要刷新搜索结果,请点击 刷新。
页面右侧的日期和时间选择器允许您设置时间间隔以自动刷新端点列表 - 例如,检查是否添加或删除了新的端点。