Prüfungsdefinitionen erstellen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Erstellen Sie eine Prüfungsdefinition, um den Befehl osquery für den Agent auszuführen.

    Vorbereitungen

    Erforderliche Rolle: agent_client_collector_integration oder agent_client_collector_admin

    Prozedur

    1. In einem Ereignismanagement Instanz, navigieren Sie zu Agent Client Collector > Prüfungsdefinitionenan.
    2. Klicken Sie auf Neu.
    3. Geben Sie im Feld Name den Namen util.osquery ein.
    4. Geben Sie im Feld Check type (Prüfungstyp) den Namen osquery ein.
    5. Geben Sie im Feld Command (Befehl) das folgende Skript ein: 
      osqueryi  --logger_min_status 1 --json "{{.labels.params_query}} "
    6. In Plugins Geben Sie ein Osquery Plugin.
    7. Geben Sie im Abschnitt Parameter die folgenden Werte für eine Prüfungsparameterdefinition ein.
      SpalteWert
      Name query
      Standardwert * aus logged_in_users auswählen
      Obligatorisch Wahr
    8. Klicken Sie auf Test check (Testüberprüfung), und wählen Sie einen der verfügbaren Agents aus.
      Das angezeigte Testergebnis gibt an, ob die Überprüfung erfolgreich war oder fehlgeschlagen ist.