Elastic Endpoint 命令参考
编辑Elastic Endpoint 命令参考
编辑此页面列出了用于管理和排除 Elastic Endpoint 故障的命令,Elastic Endpoint 是执行 Elastic Defend 威胁监控和防护的已安装组件。
-
Elastic Endpoint 未添加到
PATH系统变量,因此您必须在命令前加上完整的操作系统相关路径- 在 Windows 上:
"C:\Program Files\Elastic\Endpoint\elastic-endpoint.exe" - 在 macOS 上:
/Library/Elastic/Endpoint/elastic-endpoint - 在 Linux 上:
/opt/Elastic/Endpoint/elastic-endpoint
- 在 Windows 上:
- 您必须使用提升的权限运行命令——在 Linux 和 macOS 上使用
sudo以 root 用户身份运行,或在 Windows 上以管理员身份运行。
提供以下 Elastic Endpoint 命令
每个命令都接受以下日志记录选项
-
--log [stdout,stderr,debugview,file] -
--log-level [error,info,debug]
elastic-endpoint diagnostics
编辑收集来自 Elastic Endpoint 的诊断信息。此命令生成一个包含以下内容的归档文件:
-
version.txt:版本信息 -
elastic-endpoint.yaml:当前策略 -
metrics.json:指标文档 -
policy_response.json:上次策略响应 -
system_info.txt:系统信息 -
analysis.txt:诊断分析报告 -
logs目录:Elastic Endpoint 日志文件的副本
示例
编辑elastic-endpoint diagnostics
elastic-endpoint help
编辑显示可用命令的帮助信息。
示例
编辑elastic-endpoint help
elastic-endpoint inspect
编辑显示当前的 Elastic Endpoint 配置。
示例
编辑elastic-endpoint inspect
elastic-endpoint install
编辑将 Elastic Endpoint 安装为系统服务。
我们不建议使用此命令安装 Elastic Endpoint。Elastic Endpoint 由 Elastic Agent 管理,无法作为独立服务运行。因此,Elastic Endpoint 没有单独的安装包,不应单独安装。
选项
编辑-
--resources <string> - 指定安装期间要使用的资源
.zip文件。此选项是必需的。 -
--upgrade - 升级现有安装。
示例
编辑elastic-endpoint install --upgrade --resources endpoint-security-resources.zip
elastic-endpoint memorydump
编辑保存 Elastic Endpoint 服务的内存转储。
选项
编辑-
--compress - 压缩保存的内存转储。
-
--timeout <duration> - 指定内存收集超时时间(以秒为单位);默认为 60 秒。
示例
编辑elastic-endpoint memorydump --timeout 120
elastic-endpoint run
编辑如果尚未运行其他实例,则将 elastic-endpoint 作为前台进程运行。
示例
编辑elastic-endpoint run
elastic-endpoint send
编辑将请求的文档发送到 Elastic Stack。
子命令
编辑-
metadata - 将非计划的指标文档发送到 Elastic Stack。
示例
编辑elastic-endpoint send metadata
elastic-endpoint status
编辑检索正在运行的 Elastic Endpoint 服务的当前状态。该命令还返回 Elastic Agent 的最后已知状态。
选项
编辑-
--output -
控制信息的详细程度和格式。有效值为
-
human:当 Elastic Endpoint 的状态为Healthy时,返回有限的信息。如果任何策略操作未成功应用,则会显示相关详细信息。 -
full:始终返回完整的状态信息。 -
json:始终返回完整的状态信息。
-
示例
编辑elastic-endpoint status --output json
elastic-endpoint test
编辑执行请求的测试。
子命令
编辑-
output - 测试 Elastic Endpoint 是否可以连接到远程资源。
示例
编辑elastic-endpoint test output
示例输出
编辑Testing output connections
Using proxy:
Elasticsearch server: https://example.elastic.co:443
Status: Success
Global artifact server: https://artifacts.security.elastic.co
Status: Success
Fleet server: https://fleet.example.elastic.co:443
Status: Success
elastic-endpoint top
编辑显示在最后一个时间间隔内触发 Elastic Endpoint CPU 使用率的可执行文件的细分。这将显示哪些 Elastic Endpoint 功能对于特定可执行文件而言是资源密集型的。
此命令的含义和输出类似于 POSIX top 命令,但并不完全相同。elastic-endpoint top 命令按可执行文件聚合多个进程。利用率值不是由操作系统调度程序测量的,而是在用户模式下由挂钟测量的。输出有助于识别导致 CPU 使用率过高的异常值,从而允许您微调部署中的 Elastic Defend 策略和异常列表。
选项
编辑-
--interval <duration> - 指定数据收集间隔(以秒为单位);默认为 5 秒。
-
--limit <number> - 指定要收集的更新数量;默认情况下,数据将收集到被 Ctrl+C 中断为止。
-
--normalized - 将多 CPU 系统上所有 CPU 的 CPU 使用率值标准化到总计 100%。
示例
编辑elastic-endpoint top --interval 10 --limit 5
示例输出
编辑| PROCESS | OVERALL | API | BHVR | DIAG BHVR | DNS | FILE | LIB | MEM SCAN | MLWR | NET | PROC | RANSOM | REG | ============================================================================================================================================================= | MSBuild.exe | 3146.0 | 0.0 | 0.8 | 0.7 | 0.0 | 2330.9 | 0.0 | 226.2 | 586.9 | 0.0 | 0.0 | 0.4 | 0.0 | | Microsoft.Management.Services.IntuneWindowsAgen... | 30.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.2 | 29.8 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | svchost.exe | 27.3 | 0.0 | 0.1 | 0.1 | 0.0 | 0.4 | 0.2 | 0.0 | 26.6 | 0.0 | 0.0 | 0.0 | 0.0 | | LenovoVantage-(LenovoServiceBridgeAddin).exe | 0.1 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.1 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Lenovo.Modern.ImController.PluginHost.Device.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | msedgewebview2.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | msedge.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | powershell.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | WmiPrvSE.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Lenovo.Modern.ImController.PluginHost.Device.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Slack.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | uhssvc.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | explorer.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | taskhostw.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Widgets.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | elastic-endpoint.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | sppsvc.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | Endpoint service (16 CPU): 113.0% out of 1600% Collecting data. Press Ctrl-C to cancel
列缩写
编辑-
API:Windows 事件跟踪 (ETW) API 事件 -
AUTH:身份验证事件 -
BHVR:恶意行为防护 -
CRED:凭据访问事件 -
DIAG BHVR:诊断恶意行为防护 -
DNS:DNS 事件 -
FILE:文件事件 -
LIB:库加载事件 -
MEM SCAN:内存扫描 -
MLWR:恶意软件防护 -
NET:网络事件 -
PROC:进程事件 -
PROC INJ:进程注入 -
RANSOM:勒索软件防护 -
REG:注册表事件
elastic-endpoint uninstall
编辑卸载 Elastic Endpoint。
Elastic Endpoint 由 Elastic Agent 管理。要永久从目标计算机中删除 Elastic Endpoint,请从 Fleet 策略中删除 Elastic Defend 集成。elastic-agent uninstall 命令也会卸载 Elastic Endpoint;因此,实际上,elastic-endpoint uninstall 命令仅用于排除安装故障。
选项
编辑-
--uninstall-token <string> - 提供卸载令牌。如果启用了agent 防篡改保护,则需要此令牌。
示例
编辑elastic-endpoint uninstall --uninstall-token 12345678901234567890123456789012
elastic-endpoint version
编辑显示 Elastic Endpoint 的版本。
示例
编辑elastic-endpoint version