에이전트에서 osquery 명령을 실행할 검사 정의를 만듭니다.
시작하기 전에
필요한 역할: agent_client_collector_integration 또는 agent_client_collector_admin
프로시저
-
이벤트 관리 인스턴스에서 다음으로 이동 .
-
새로 만들기를 클릭합니다.
-
이름 필드에 util.osquery를 입력합니다.
-
검사 유형 필드에 osquery를 입력합니다.
-
명령 필드에 다음 스크립트를 입력합니다.
osqueryi --logger_min_status 1 --json "{{.labels.params_query}} "
-
플러그인 필드에 osquery 플러그인을 입력합니다.
-
매개변수 섹션에서 검사 매개변수 정의에 다음 값을 입력합니다.
| 열 | 값 |
|---|
| 이름 |
query |
| 기본값 |
logged_in_users에서 * 선택 |
| 필수 |
true |
-
테스트 검사를 클릭하고 사용 가능한 에이전트 중 하나를 선택합니다.
성공 또는 실패를 나타내는 테스트 결과가 표시됩니다.