从警报运行 Osquery
编辑从警报运行 Osquery编辑
对与警报关联的主机运行实时查询,以了解有关基础设施和操作系统的更多信息。例如,使用 Osquery,您可以搜索系统中可能导致警报的入侵指标。然后,您可以使用这些数据来指导您的调查和警报分类工作。
要从警报运行 Osquery
-
从警报表中执行以下操作之一
- 点击 查看详情 按钮打开警报详细信息弹出窗口,然后点击 采取行动 → 运行 Osquery。
- 选择 更多操作 菜单 (…),然后选择 运行 Osquery。
- 选择运行单个查询或查询包。
-
选择一个或多个 Elastic Agent 或组进行查询。在搜索字段中开始输入以获取按名称、ID、平台和策略对 Elastic Agent 的建议。
与警报关联的主机将自动选择。您可以指定要查询的其他主机。
-
指定要运行的查询或包
-
查询: 选择已保存的查询,或在文本框中输入新的查询。输入查询后,可以展开 高级 部分以设置查询的超时时间,并查看或设置包含在实时查询结果中的 映射的 ECS 字段(可选)。
覆盖查询的默认超时时间,可以支持运行时间更长的查询。超时 字段的默认值和最小支持值为
60。最大支持值为900。使用 占位符字段 动态将现有警报数据添加到您的查询中。
-
包: 从可用的查询包中选择。选择包后,将显示包中的所有查询。
请参考 预建包 以了解有关使用和管理 Elastic 预建包的信息。
-
-
点击 提交。查询结果将显示在弹出窗口中。
请参考 查看 Osquery 结果 以获取有关查询结果的更多信息。
- 点击 保存以备后用 以保存查询以备将来使用(可选)。