端点
编辑端点
编辑“端点”页面允许管理员查看和管理正在运行 Elastic Defend 集成 的端点。
端点列表
编辑端点列表显示所有正在运行 Elastic Defend 的主机及其相关的集成详细信息。端点按时间顺序显示,新添加的端点位于顶部。
“端点”列表提供以下数据:
- 端点:系统主机名。单击链接以在弹出窗口中显示端点详细信息。
-
代理状态:Elastic Agent 的当前状态,它是以下状态之一:
-
正常:代理在线并与 Kibana 通信。 -
正在取消注册:代理当前正在取消注册,并将很快从 Fleet 中移除。之后,端点也将卸载。 -
不正常:代理在线,但由于报告进程出现问题,需要管理员关注。不正常状态可能意味着升级失败并回滚到以前的版本,或者集成可能缺少先决条件或其他配置。有关解决代理不正常状态的更多信息,请参阅端点管理故障排除。 -
正在更新:代理在线,并且正在更新代理策略或二进制文件,或者正在注册或取消注册。 -
离线:代理仍已注册,但可能位于已关闭或当前无法访问互联网的计算机上。在这种状态下,代理不再定期与 Kibana 通信。Fleet 中的 Elastic Agent 状态与 Elastic Security 应用程序中的代理状态相对应。
-
- 策略:安装代理时关联的集成策略的名称。单击链接以显示集成策略详细信息页面。
- 策略状态:指示是否已成功应用集成策略。单击链接以查看弹出窗口中的策略状态响应详细信息。
- 操作系统:主机操作系统。
- IP 地址:与主机名关联的所有 IP 地址。
- 版本:当前正在运行的 Elastic Stack 版本。
- 上次活动时间:Elastic Agent 上次活动的时间和时间戳。
-
操作:选择上下文菜单 (…) 以执行以下操作:
端点详细信息
编辑单击 端点 列中的任何链接以在弹出窗口中显示主机详细信息。您还可以使用执行操作菜单按钮来执行与操作上下文菜单中列出的操作相同的操作,例如隔离主机、查看主机详细信息以及查看或重新分配代理策略。
响应操作历史记录
编辑端点详细信息弹出窗口还包括 响应操作历史记录 选项卡,该选项卡提供了在端点上执行的响应操作的日志,例如隔离主机或终止进程。您可以使用顶部的工具来筛选此视图中显示的信息。有关更多详细信息,请参阅响应操作历史记录。
集成策略详细信息
编辑要查看集成策略页面,请单击 策略 列中的链接。如果您正在查看主机详细信息,您也可以单击弹出窗口上的 策略 链接。
在此页面上,您可以查看和配置端点保护和事件收集设置。右上角是关键绩效指标 (KPI),提供当前端点状态。如果您需要更新策略,请进行适当的更改,然后单击保存按钮以应用新更改。
用户必须具有 Fleet API 的读/写权限才能更改配置。
具有独特配置和安全要求的用户可以选择显示高级设置来配置策略以支持高级用例。将鼠标悬停在每个设置上以查看其描述。
不建议大多数用户使用高级设置。
策略状态
编辑集成策略的状态显示在 策略状态 列中,并显示以下状态之一:
-
成功:策略已成功应用。 -
警告或部分应用:策略正在等待应用,或者策略未完全应用。在某些情况下,在策略应用期间对端点执行的操作可能会失败,但这些情况不是关键性失败,这意味着可能会发生失败,但端点仍然受到保护。在这种情况下,策略状态将显示为“部分应用”。
-
失败:策略未正确应用,端点未受保护。 -
未知:用户界面正在等待 API 响应返回,或者在极少数情况下,API 返回了未定义的错误或值。
有关导致策略状态的更多详细信息,请单击 策略状态 列中的链接并查看详细信息弹出窗口。展开每个部分和小节以显示来自代理的各个响应。
如果您需要帮助解决配置故障,请参阅端点管理故障排除和Fleet 故障排除。
筛选端点
编辑要筛选“端点”列表,请使用搜索栏,使用 Kibana 查询语言 (KQL) 输入查询。要刷新搜索结果,请单击刷新。
页面右侧的日期和时间选择器允许您设置时间间隔以自动刷新“端点”列表 — 例如,检查是否添加或删除了新端点。