从告警运行 Osquery
编辑从告警运行 Osquery
编辑在与告警关联的主机上运行实时查询,以了解有关您的基础设施和操作系统的更多信息。例如,使用 Osquery,您可以搜索您的系统,查找可能导致告警的入侵指标。然后,您可以使用此数据来为您的调查和告警分类工作提供信息。
要从告警运行 Osquery
-
从“告警”表执行以下操作之一
- 单击查看详情按钮以打开“告警详情”浮出框,然后单击采取操作 → 运行 Osquery。
- 选择更多操作菜单 (…),然后选择运行 Osquery。
- 选择运行单个查询或查询包。
-
选择一个或多个要查询的 Elastic Agent 或组。在搜索字段中开始键入,以获取按名称、ID、平台和策略查找 Elastic Agent 的建议。
与告警关联的主机会自动选中。您可以指定其他要查询的主机。
-
指定要运行的查询或包
-
查询:选择已保存的查询或在文本框中输入新的查询。输入查询后,您可以展开高级部分,以设置查询的超时时间,并查看或设置 映射的 ECS 字段,这些字段包含在实时查询的结果中(可选)。
覆盖查询的默认超时时间可以支持运行时间更长的查询。超时字段的默认值和最小支持值是
60。最大支持值是900。使用占位符字段将现有的告警数据动态添加到查询中。
-
包:从可用的查询包中选择。选择包后,将显示包中的所有查询。
请参阅预构建包,以了解有关使用和管理 Elastic 预构建包的信息。
-
-
单击提交。查询结果将显示在浮出框中。
有关查询结果的更多信息,请参阅 检查 Osquery 结果。
- 单击稍后保存以保存查询以供将来使用(可选)。