检查 Osquery 结果
编辑检查 Osquery 结果
编辑Osquery 提供相关且及时的數據,您可以用它更好地了解和监控您的环境。运行查询时,结果会被索引并在“结果”表中显示,您可以过滤、排序和与之交互。
结果表
编辑结果表显示来自单个查询和查询包的结果。
单个查询结果
编辑单个查询的结果显示在结果选项卡中。运行查询时,已查询的代理数量和查询状态会暂时显示在结果表上方的状态栏中。代理响应可以是成功、尚未响应(挂起)和失败。
查询包结果
编辑每个查询包中每个查询的结果都显示在结果选项卡中。单击每个查询行最右侧的展开图标(
)以显示查询结果。每个查询都显示已查询的代理数量及其响应。代理响应使用颜色编码。绿色表示成功,尚未响应(挂起)为灰色,失败为红色。
调查查询结果
编辑您可以从结果表中:
- 单击在 Discover 中查看(
)以在 Discover 中浏览结果。 - 单击在 Lens 中查看(
)以导航到 Lens,您可以在其中使用拖放Lens编辑器创建可视化。 -
单击时间线(
)以在时间线中调查单个查询结果,或单击添加到时间线调查以调查所有结果。此选项仅适用于单个查询结果。在时间线中打开所有结果时,时间线中的事件将根据 Osquery 查询生成的
action_ID进行过滤。 -
单击添加到案例(
)将查询结果添加到新的或现有的案例中。如果您从告警运行了实时查询,则告警和查询结果将作为注释添加到案例中。如果您将结果添加到新的案例,系统会提示您指定要创建案例的解决方案。请确保选择正确的解决方案。在 Elastic Security 中,您无法访问在可观察性或 Stack Management 中创建的案例。
如果您将结果添加到现有案例,您可以从在任何解决方案(Elastic Security、可观察性和 Elastic Stack)中创建的案例中进行选择。
- 单击查看详细信息图标(
)以检查查询 ID 和语句。 - 通过打开状态选项卡,查看有关请求的更多信息,例如失败。