响应操作历史
编辑响应操作历史
编辑Elastic Security 会记录在端点上执行的响应操作,例如隔离主机或终止进程。日志显示每个命令执行的时间、执行操作的主机、请求操作的 Kibana 用户、添加到操作的任何注释以及操作的当前状态。
要访问所有端点的响应操作历史记录,请在导航菜单中查找响应操作历史,或使用全局搜索字段。您还可以从以下区域访问单个端点的响应操作历史记录
- 端点页面:单击端点名称以打开详细信息弹出窗口,然后单击响应操作历史选项卡。
- 响应控制台页面:单击响应操作历史按钮。
所有这些上下文都包含相同的信息和功能。下图显示了所有端点的响应操作历史页面
要筛选和扩展响应操作历史记录中的信息
- 在搜索字段中输入用户名或用逗号分隔的用户名列表,以显示这些用户请求的操作。
-
使用各种下拉菜单筛选显示的操作
- 主机:显示在特定端点上执行的操作。(仅在所有端点的响应操作历史页面上可用。)
- 操作:显示特定的操作类型。
- 状态:显示具有特定状态的操作。
- 类型:根据端点保护代理类型(Elastic Defend 或第三方代理)以及操作的触发方式(用户手动触发或检测规则自动触发)显示操作。
- 使用日期和时间选择器显示特定时间范围内的操作。
- 单击右侧的展开箭头以显示有关操作的更多详细信息。