端点
编辑端点编辑
“端点”页面允许管理员查看和管理运行 Elastic Defend 集成 的端点。
端点列表编辑
端点 列表显示运行 Elastic Defend 的所有主机及其相关的集成详细信息。端点按时间顺序显示,新添加的端点位于顶部。
“端点”列表提供以下数据
- 端点: 系统主机名。单击链接以在弹出窗口中显示 端点详细信息。
-
代理状态: Elastic Agent 的当前状态,为以下状态之一
-
正常: 代理在线并与 Kibana 通信。 -
取消注册中: 代理当前正在取消注册,并将很快从 Fleet 中移除。之后,端点也将卸载。 -
不正常: 代理在线,但由于报告了进程问题,需要管理员的关注。不正常状态可能意味着升级失败并回滚到其先前版本,或者集成可能缺少先决条件或其他配置。有关解决不正常代理状态的更多信息,请参阅 端点管理故障排除。 -
更新中: 代理在线并正在更新代理策略或二进制文件,或者正在注册或取消注册。 -
离线: 代理仍已注册,但可能位于已关闭或当前没有互联网访问权限的机器上。在这种情况下,代理不再以定期时间间隔与 Kibana 通信。Fleet 中的 Elastic Agent 状态对应于 Elastic Security 应用程序中的代理状态。
-
- 策略: 安装代理时关联的集成策略的名称。单击链接以显示 集成策略详细信息 页面。
- 策略状态: 指示集成策略是否已成功应用。单击链接以在弹出窗口中查看 策略状态 响应详细信息。
- 操作系统: 主机的操作系统。
- IP 地址: 与主机名关联的所有 IP 地址。
- 版本: 当前正在运行的 Elastic Stack 版本。
- 上次活跃时间: Elastic Agent 上次活跃的时间和日期。
-
操作: 选择上下文菜单 (…) 以执行以下操作
端点详细信息编辑
单击 端点 列中的任何链接以在弹出窗口中显示主机详细信息。您也可以使用 执行操作 菜单按钮来执行与“操作”上下文菜单中列出的操作相同的操作,例如隔离主机、查看主机详细信息以及查看或重新分配代理策略。
响应操作历史记录编辑
端点详细信息弹出窗口还包括 响应操作历史记录 选项卡,该选项卡提供在端点上执行的 响应操作 的日志,例如隔离主机或终止进程。您可以使用顶部的工具来筛选在此视图中显示的信息。有关更多详细信息,请参阅 响应操作历史记录。
集成策略详细信息编辑
要查看集成策略页面,请单击 策略 列中的链接。如果您正在查看主机详细信息,您也可以单击弹出窗口上的 策略 链接。
在此页面上,您可以查看和配置端点保护和事件收集设置。右上角是提供当前端点状态的关键绩效指标 (KPI)。如果您需要更新策略,请根据需要进行更改,然后单击 保存 按钮以应用新更改。
用户必须具有对 Fleet API 的读写权限才能更改配置。
具有独特配置和安全要求的用户可以选择 显示高级设置 以配置策略以支持高级用例。将鼠标悬停在每个设置上以查看其描述。
对于大多数用户来说,不建议使用高级设置。
策略状态编辑
集成策略的状态显示在 策略状态 列中,并显示以下状态之一
-
成功: 策略已成功应用。 -
警告或部分应用: 策略正在等待应用,或者策略未完全应用。在某些情况下,在策略应用期间,对端点的操作可能会失败,但这些情况不是严重故障 - 意味着可能存在故障,但端点仍然受到保护。在这种情况下,策略状态将显示为“部分应用”。
-
失败: 策略未正确应用,端点未受保护。 -
未知: 用户界面正在等待 API 响应返回,或者在极少数情况下,API 返回了未定义的错误或值。
有关导致策略状态的原因的更多详细信息,请单击 策略状态 列中的链接,然后查看详细信息弹出窗口。展开每个部分和子部分以显示来自代理的单个响应。
如果您需要帮助排查配置故障,请参阅 端点管理故障排除 和 Fleet 故障排除。
筛选端点编辑
要筛选“端点”列表,请使用搜索栏输入使用 Kibana 查询语言 (KQL) 的查询。要刷新搜索结果,请单击 刷新。
页面右侧的日期和时间选择器允许您设置时间间隔以自动刷新“端点”列表 - 例如,检查是否添加或删除了新端点。