Erstellen Sie eine Prüfungsdefinition, um den Befehl osquery für den Agent auszuführen.
Vorbereitungen
Erforderliche Rolle: agent_client_collector_integration oder agent_client_collector_admin
Prozedur
-
Navigieren Sie in einer Ereignismanagement -Instanz zu .
-
Klicken Sie auf Neu.
-
Geben Sie im Feld Name den Namen util.osquery ein.
-
Geben Sie im Feld Check type (Prüfungstyp) den Namen osquery ein.
-
Geben Sie im Feld Command (Befehl) das folgende Skript ein:
osqueryi --logger_min_status 1 --json "{{.labels.params_query}} "
-
Geben Sie im Abschnitt Parameter die folgenden Werte für eine Prüfungsparameterdefinition ein.
| Spalte | Wert |
|---|
| Name |
query |
| Standardwert |
* aus logged_in_users auswählen |
| Obligatorisch |
Wahr |
-
Klicken Sie auf Test check (Testüberprüfung), und wählen Sie einen der verfügbaren Agents aus.
Das angezeigte Testergebnis gibt an, ob die Überprüfung erfolgreich war oder fehlgeschlagen ist.