检查 Osquery 结果
编辑检查 Osquery 结果
编辑Osquery 提供相关且及时的可用数据,您可以使用这些数据来更好地了解和监控您的环境。当您运行查询时,结果会被索引并显示在“结果”表中,您可以对其进行过滤、排序和交互。
结果表
编辑“结果”表显示来自单个查询和查询包的结果。
单个查询结果
编辑单个查询的结果会出现在 结果 选项卡上。当您运行查询时,查询的代理数量和查询状态会暂时显示在结果表上方的状态栏中。代理响应可以是 成功、尚未响应(待处理)和 失败。
查询包结果
编辑包中每个查询的结果会出现在 结果 选项卡中。单击每个查询行最右侧的展开图标 (
) 以显示查询结果。每个查询都会显示查询的代理数量及其响应。代理响应会用颜色编码。绿色表示 成功,尚未响应(待处理)表示灰色,红色表示 失败。
调查查询结果
编辑在结果表中,您可以
- 单击 在 Discover 中查看 (
) 以在 Discover 中探索结果。 - 单击 在 Lens 中查看 (
) 以导航到 Lens,您可以在其中使用拖放式 Lens 编辑器来创建可视化效果。 -
单击 时间线 (
) 以在时间线中调查单个查询结果,或单击 添加到时间线调查 以调查所有结果。此选项仅适用于单个查询结果。当您在时间线中打开所有结果时,时间线中的事件会根据 Osquery 查询生成的
action_ID进行过滤。 -
单击 添加到案例 (
) 以将查询结果添加到新的或现有案例中。如果您从告警运行实时查询,则告警和查询结果将作为评论添加到案例中。如果您将结果添加到新案例中,系统会提示您指定要在其中创建案例的解决方案。请确保您选择正确的解决方案。从 Elastic Security 中,您无法访问在 Observability 或 Stack Management 中创建的案例。
如果您将结果添加到现有案例中,则可以从在任何解决方案(Elastic Security、Observability 和 Elastic Stack)中创建的案例中进行选择。
- 单击查看详细信息图标 (
) 以检查查询 ID 和语句。 - 通过打开 状态 选项卡,查看有关请求的更多信息,例如失败。