检查 Osquery 结果
编辑检查 Osquery 结果编辑
Osquery 提供相关且及时的数据,您可以使用这些数据更好地了解和监控您的环境。当您运行查询时,结果将被索引并显示在结果表中,您可以过滤、排序和与结果表交互。
结果表编辑
结果表显示来自单个查询和查询包的结果。
单个查询结果编辑
单个查询的结果出现在 结果 选项卡中。当您运行查询时,已查询的代理数量和查询状态将临时显示在结果表上方的状态栏中。代理响应可以是 成功、尚未响应(挂起)和 失败。
查询包结果编辑
包中每个查询的结果都出现在 结果 选项卡中。点击每个查询行最右边的展开图标 (
) 以显示查询结果。显示了每个查询所查询的代理数量及其响应。代理响应用颜色编码。绿色是 成功,尚未响应(挂起)是灰色,失败 是红色。
调查查询结果编辑
从结果表中,您可以
- 点击 在 Discover 中查看 (
) 以在 Discover 中探索结果。 - 点击 在 Lens 中查看 (
) 以导航到 Lens,您可以在那里使用拖放式 Lens 编辑器来创建可视化。 -
点击 时间线 (
) 以在时间线中调查单个查询结果,或 添加到时间线调查 以调查所有结果。此选项仅适用于单个查询结果。当您在时间线中打开所有结果时,时间线中的事件将根据 Osquery 查询生成的
action_ID进行过滤。 -
点击 添加到案例 (
) 以将查询结果添加到新案例或现有案例。如果您从警报运行了实时查询,则警报和查询结果将作为注释添加到案例中。如果您将结果添加到新案例,则会提示您指定要创建案例的解决方案。确保选择正确的解决方案。在 Elastic Security 中,您无法访问在可观察性或堆栈管理中创建的案例。
如果您将结果添加到现有案例,则可以选择在任何解决方案(Elastic Security、可观察性和 Elastic Stack)中创建的案例。
- 点击查看详细信息图标 (
) 以检查查询 ID 和语句。 - 通过打开 状态 选项卡,查看有关请求的更多信息,例如失败。