› › ›

获取进程

编辑

获取进程编辑

获取运行 Elastic Defend 的主机上的进程。

您必须具有 进程操作 权限，并且至少具有企业版许可证才能执行此操作。

请求 URL编辑

POST <kibana 主机>:<端口>/api/endpoint/action/running_procs

请求正文编辑

包含以下字段的 JSON 对象

名称	类型	描述	必需
`endpoint_ids`	数组 (字符串)	您想要发出此操作的端点 ID。	是
`agent_type`	字符串	主机运行的 Agent 类型。接受的值为 `endpoint` (默认) `sentinel_one` (目前处于技术预览版)	否
`alert_ids`	数组 (字符串)	如果此操作与任何警报相关联，则可以在这里指定它们。该操作将在与指定警报相关联的任何情况下记录。	否
`case_ids`	数组 (字符串)	执行的操作将被记录在其中的案例 ID。	否
`comment`	字符串	将注释附加到此操作的日志。注释文本将出现在相关联的案例中。	否

示例请求编辑

获取具有 endpoint_id 值为 ed518850-681a-4d60-bb98-e22640cae2a8 的主机的进程

POST /api/endpoint/action/running_procs
{
  "endpoint_ids": ["ed518850-681a-4d60-bb98-e22640cae2a8"]
}

响应代码编辑

200: 表示调用成功。
403: 表示用户权限不足（需要 进程操作）或许可证级别不支持（需要最低企业版许可证）。
500: 一般错误。响应消息将提供更多详细信息。

响应有效负载编辑

包含引用提交操作的 id 的 JSON 对象。

示例响应编辑

{
  "data": {
    "id": "233db9ea-6733-4849-9226-5a7039c7161d",
    "agents": ["ed518850-681a-4d60-bb98-e22640cae2a8"],
    "command": "running-processes",
    "agentType": "endpoint",
    "isExpired": false,
    "isCompleted": true,
    "wasSuccessful": true,
    "errors": [],
    "startedAt": "2022-07-29T19:08:49.126Z",
    "completedAt": "2022-07-29T19:09:44.961Z",
    "outputs": {
      "ed518850-681a-4d60-bb98-e22640cae2a8": {
        "type": "json",
        "content": {
          "key": "value"
        }
      }
    },
    "createdBy": "myuser",
    "comment": "",
    "parameters": {}
  }
}

« 暂停进程从主机获取文件 »