从告警运行 Osquery
编辑从告警运行 Osquery
编辑对与告警关联的主机运行实时查询,以了解有关您的基础设施和操作系统的更多信息。例如,使用 Osquery,您可以搜索系统中的可能导致告警的入侵迹象。然后,您可以使用这些数据来为您的调查和告警分类工作提供信息。
从告警运行 Osquery
-
从告警表执行以下操作之一
- 单击查看详情按钮打开告警详情浮层,然后单击采取行动 → 运行 Osquery。
- 选择更多操作菜单(…),然后选择运行 Osquery。
- 选择运行单个查询还是查询包。
-
选择一个或多个 Elastic Agent 或组进行查询。在搜索字段中开始输入以获取按名称、ID、平台和策略对 Elastic Agent 的建议。
与告警关联的主机将自动选中。您可以指定其他要查询的主机。
-
指定要运行的查询或包
-
查询:选择已保存的查询或在文本框中输入新的查询。输入查询后,您可以展开高级部分来设置查询的超时时间段,并查看或设置实时查询结果中包含的已映射的 ECS 字段(可选)。
覆盖查询的默认超时时间段允许您支持运行时间较长的查询。超时字段的默认值和最小支持值为
60。最大支持值为900。使用占位符字段动态地将现有的告警数据添加到您的查询中。
-
包:从可用的查询包中选择。选择包后,将显示包中的所有查询。
请参考预构建包以了解如何使用和管理 Elastic 预构建包。
-
-
单击提交。查询结果将显示在浮层中。
有关查询结果的更多信息,请参考检查 Osquery 结果。
- 单击保存以供日后使用以保存查询以备将来使用(可选)。