Elastic Endpoint 命令参考
编辑Elastic Endpoint 命令参考
编辑本页列出了用于管理和故障排除 Elastic Endpoint 的命令。Elastic Endpoint 是安装的组件,用于执行 Elastic Defend 的威胁监控和防护。
-
Elastic Endpoint 未添加到
PATH
系统变量中,因此你必须在命令前加上完整的操作系统相关路径- 在 Windows 上:
"C:\Program Files\Elastic\Endpoint\elastic-endpoint.exe"
- 在 macOS 上:
/Library/Elastic/Endpoint/elastic-endpoint
- 在 Linux 上:
/opt/Elastic/Endpoint/elastic-endpoint
- 在 Windows 上:
- 你必须使用提升的权限运行命令 - 在 Linux 和 macOS 上使用
sudo
以 root 用户身份运行,或者在 Windows 上以管理员身份运行。
以下 Elastic Endpoint 命令可用
每个命令都接受以下日志选项
-
--log [stdout,stderr,debugview,file]
-
--log-level [error,info,debug]
elastic-endpoint diagnostics
编辑从 Elastic Endpoint 收集诊断信息。此命令生成一个包含以下内容的存档
-
version.txt
:版本信息 -
elastic-endpoint.yaml
:当前策略 -
metrics.json
:指标文档 -
policy_response.json
:上次策略响应 -
system_info.txt
:系统信息 -
analysis.txt
:诊断分析报告 -
logs
目录:Elastic Endpoint 日志文件的副本
示例
编辑elastic-endpoint diagnostics
elastic-endpoint help
编辑显示可用命令的帮助。
示例
编辑elastic-endpoint help
elastic-endpoint inspect
编辑显示当前的 Elastic Endpoint 配置。
示例
编辑elastic-endpoint inspect
elastic-endpoint install
编辑将 Elastic Endpoint 安装为系统服务。
我们不建议使用此命令安装 Elastic Endpoint。Elastic Endpoint 由 Elastic Agent 管理,不能作为独立服务运行。因此,Elastic Endpoint 没有单独的安装包,不应独立安装。
选项
编辑-
--resources <string>
- 指定安装期间要使用的资源
.zip
文件。此选项是必需的。 -
--upgrade
- 升级现有安装。
示例
编辑elastic-endpoint install --upgrade --resources endpoint-security-resources.zip
elastic-endpoint memorydump
编辑保存 Elastic Endpoint 服务的内存转储。
选项
编辑-
--compress
- 压缩保存的内存转储。
-
--timeout <duration>
- 指定内存收集超时时间,以秒为单位;默认值为 60 秒。
示例
编辑elastic-endpoint memorydump --timeout 120
elastic-endpoint run
编辑如果没有其他实例正在运行,则以前台进程的方式运行 elastic-endpoint
。
示例
编辑elastic-endpoint run
elastic-endpoint send
编辑将请求的文档发送到 Elastic Stack。
子命令
编辑-
metadata
- 将非计划的指标文档发送到 Elastic Stack。
示例
编辑elastic-endpoint send metadata
elastic-endpoint status
编辑检索正在运行的 Elastic Endpoint 服务的当前状态。该命令还会返回 Elastic Agent 的上次已知状态。
选项
编辑-
--output
-
控制信息的详细程度和格式。有效值包括
-
human
:当 Elastic Endpoint 的状态为Healthy
时,返回有限的信息。如果任何策略操作未成功应用,则会显示相关详细信息。 -
full
:始终返回完整状态信息。 -
json
:始终返回完整状态信息。
-
示例
编辑elastic-endpoint status --output json
elastic-endpoint test
编辑执行请求的测试。
子命令
编辑-
output
- 测试 Elastic Endpoint 是否可以连接到远程资源。
示例
编辑elastic-endpoint test output
示例输出
编辑Testing output connections Using proxy: Elasticsearch server: https://example.elastic.co:443 Status: Success Global artifact server: https://artifacts.security.elastic.co Status: Success Fleet server: https://fleet.example.elastic.co:443 Status: Success
elastic-endpoint top
编辑显示上次间隔内触发 Elastic Endpoint CPU 使用率的可执行文件的明细。这显示了哪些 Elastic Endpoint 功能对特定可执行文件是资源密集型的。
此命令的含义和输出与 POSIX top
命令类似,但不完全相同。elastic-endpoint top
命令按可执行文件聚合多个进程。利用率值不是由操作系统调度程序测量的,而是由用户模式下的挂钟测量的。该输出有助于识别导致 CPU 使用率过高的异常值,从而使你能够在部署中微调 Elastic Defend 策略和异常列表。
选项
编辑-
--interval <duration>
- 指定数据收集间隔,以秒为单位;默认值为 5 秒。
-
--limit <number>
- 指定要收集的更新次数;默认情况下,数据收集会持续到被 Ctrl+C 中断。
-
--normalized
- 将 CPU 使用率值规范化为多 CPU 系统上所有 CPU 的总计 100%。
示例
编辑elastic-endpoint top --interval 10 --limit 5
示例输出
编辑| PROCESS | OVERALL | API | BHVR | DIAG BHVR | DNS | FILE | LIB | MEM SCAN | MLWR | NET | PROC | RANSOM | REG | ============================================================================================================================================================= | MSBuild.exe | 3146.0 | 0.0 | 0.8 | 0.7 | 0.0 | 2330.9 | 0.0 | 226.2 | 586.9 | 0.0 | 0.0 | 0.4 | 0.0 | | Microsoft.Management.Services.IntuneWindowsAgen... | 30.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.2 | 29.8 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | svchost.exe | 27.3 | 0.0 | 0.1 | 0.1 | 0.0 | 0.4 | 0.2 | 0.0 | 26.6 | 0.0 | 0.0 | 0.0 | 0.0 | | LenovoVantage-(LenovoServiceBridgeAddin).exe | 0.1 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.1 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Lenovo.Modern.ImController.PluginHost.Device.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | msedgewebview2.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | msedge.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | powershell.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | WmiPrvSE.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Lenovo.Modern.ImController.PluginHost.Device.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Slack.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | uhssvc.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | explorer.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | taskhostw.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | Widgets.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | elastic-endpoint.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | | sppsvc.exe | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | 0.0 | Endpoint service (16 CPU): 113.0% out of 1600% Collecting data. Press Ctrl-C to cancel
列缩写
编辑-
API
:用于 Windows 的事件跟踪 (ETW) API 事件 -
AUTH
:身份验证事件 -
BHVR
:恶意行为防护 -
CRED
:凭据访问事件 -
DIAG BHVR
:诊断恶意行为防护 -
DNS
:DNS 事件 -
FILE
:文件事件 -
LIB
:库加载事件 -
MEM SCAN
:内存扫描 -
MLWR
:恶意软件防护 -
NET
:网络事件 -
PROC
:进程事件 -
PROC INJ
:进程注入 -
RANSOM
:勒索软件防护 -
REG
:注册表事件
elastic-endpoint uninstall
编辑卸载 Elastic Endpoint。
Elastic Endpoint 由 Elastic Agent 管理。要从目标机器上永久删除 Elastic Endpoint,请从 Fleet 策略中删除 Elastic Defend 集成。elastic-agent uninstall 命令也会卸载 Elastic Endpoint;因此,在实践中,elastic-endpoint uninstall
命令仅用于对损坏的安装进行故障排除。
选项
编辑-
--uninstall-token <string>
- 提供卸载令牌。如果启用了代理防篡改,则需要令牌。
示例
编辑elastic-endpoint uninstall --uninstall-token 12345678901234567890123456789012
elastic-endpoint version
编辑显示 Elastic Endpoint 的版本。
示例
编辑elastic-endpoint version