从主机获取文件
编辑从主机获取文件
编辑从运行 Elastic Defend 的主机检索文件。
您必须在 Security 功能中拥有 文件操作
Kibana 权限,并且拥有企业许可证才能执行此操作。
请求 URL
编辑POST <kibana host>:<port>/api/endpoint/action/get_file
请求体
编辑包含以下字段的 JSON 对象
名称 | 类型 | 描述 | 必需 |
---|---|---|---|
|
数组 (字符串) |
您要在其中发出此操作的端点的 ID。 |
是 |
|
字符串 |
主机正在运行的代理类型。接受的值为
|
否 |
|
数组 (字符串) |
如果此操作与任何警报相关联,则可以在此处指定它们。该操作将记录在与指定警报关联的任何案例中。 |
否 |
|
数组 (字符串) |
将记录所采取操作的案例 ID。 |
否 |
|
字符串 |
将注释附加到此操作的日志中。注释文本将出现在相关的案例中。 |
否 |
|
字符串 |
文件的完整路径(包括文件名)。 |
是 |
示例请求
编辑在 endpoint_id
值为 ed518850-681a-4d60-bb98-e22640cae2a8
的主机上检索文件 /usr/my-file.txt
,并添加注释 Get my file
POST /api/endpoint/action/get_file { "endpoint_ids": ["ed518850-681a-4d60-bb98-e22640cae2a8"], "parameters": { "path": "/usr/my-file.txt", }, "comment": "Get my file" }
响应代码
编辑-
200
- 表示调用成功。
-
403
- 表示用户权限不足(需要 文件操作),或不支持的许可证级别(需要企业许可证)。
响应负载
编辑包含创建的响应操作详细信息的 JSON 对象。
示例响应
编辑{ "data": { "id": "27ba1b42-7cc6-4e53-86ce-675c876092b2", "agents": [ "ed518850-681a-4d60-bb98-e22640cae2a8" ], "hosts": { "ed518850-681a-4d60-bb98-e22640cae2a8": { "name": "gke-endpoint-gke-clu-endpoint-node-po-e1a3ab89-4c4r" } }, "agentType": "endpoint", "command": "get-file", "startedAt": "2023-07-28T19:00:03.911Z", "isCompleted": false, "wasSuccessful": false, "isExpired": false, "status": "pending", "outputs": {}, "agentState": { "ed518850-681a-4d60-bb98-e22640cae2a8": { "isCompleted": false, "wasSuccessful": false } }, "createdBy": "myuser", "parameters": { "path": "/usr/my-file.txt" } } }