Erstellen Sie eine Prüfungsdefinition, um den Befehl osquery für den Agent auszuführen.

Vorbereitungen

Erforderliche Rolle: agent_client_collector_integration oder agent_client_collector_admin

Prozedur

  1. Navigieren Sie in einer Instanz Ereignismanagement zu Agent Client Collector > Prüfungsdefinitionen.
  2. Klicken Sie auf Neu.
  3. Geben Sie im Feld Name den Namen util.osquery ein.
  4. Geben Sie im Feld Check type (Prüfungstyp) den Namen osquery ein.
  5. Geben Sie im Feld Command (Befehl) das folgende Skript ein: 
    osqueryi  --logger_min_status 1 --json "{{.labels.params_query}} "
  6. Geben Sie im Abschnitt Parameter die folgenden Werte für eine Prüfungsparameterdefinition ein.
    SpalteWert
    Name query
    Standardwert * aus logged_in_users auswählen
    Obligatorisch Wahr
  7. Klicken Sie auf Test check (Testüberprüfung), und wählen Sie einen der verfügbaren Agents aus.
    Das angezeigte Testergebnis gibt an, ob die Überprüfung erfolgreich war oder fehlgeschlagen ist.