实时搜索查询
此方法用于创建从在线端点直接获取事件信息和系统统计数据的任务。该任务采用Osquery框架(一种使用SQLite查询语言的操作系统检测框架)。
有关实时搜索的更多信息,请参阅 实时搜索 。关于
Osquery从终端获取数据并上传至S3存储桶进行集中存储。要将实时搜索结果上传至S3存储桶,需提前配置AWS(亚马逊云科技)平台。具体步骤请参考 为实时搜索配置AWS并执行runLiveSearchQuery .
参数
|
参数 |
描述 |
是否包含在请求中 |
类型 |
取值范围 |
|---|---|---|---|---|
|
|
目标终端所属公司的ID。 |
必填 |
字符串 |
无额外要求。 |
|
|
将在所有终端上运行的查询语句。 |
必填 |
字符串 |
参考 此知识库文章 获取关于查询语句的更多信息。 |
|
|
终端ID列表。用于确定查询执行范围。 |
必填 注意虽然该参数为必填项,但可保留空数组以触发默认值。 |
字符串数组 |
ID必须属于目标公司管理的终端。 默认值:目标公司所有终端节点。 注意当数组为空时将自动采用默认值。 |
|
|
目标终端节点的操作系统。 提示
此参数最适合用于查询目标公司所有使用特定操作系统的终端节点。为此,请将
|
必填 注意虽然该参数为必填项,但可留空数组以触发默认值。 |
字符串数组 |
无额外要求。 可选值:
默认值:所有操作系统。 注意当数组为空时将自动采用默认值。 |
|
|
用于存储返回数据的S3存储桶。 |
必填 |
对象 |
参见
|
s3上传配置
|
参数 |
描述 |
请求中包含 |
类型 |
|---|---|---|---|
|
|
存储数据的S3存储桶名称。 |
必填 |
字符串 |
|
|
存储桶所在的AWS区域。 |
必填 |
字符串 |
|
|
GravityZone访问存储桶时将使用的IAM角色的亚马逊资源名称(ARN)。 |
必填 |
字符串 |
|
|
角色信任策略中设置的唯一标识符。 用于通过验证请求者是否有权承担IAM角色来启用安全的跨账户访问。 |
必填 |
字符串 |
返回值
|
属性 |
类型 |
描述 |
|---|---|---|
|
|
字符串 |
请求创建的任务ID。 |
示例
请求 :
{
"params": {
"companyId": "669659908c2fa1ace601****",
"query": "select * from time;",
"endpoints": [
"1234567890abcdef12345678",
"a1b2c3d4e5f6078901234567"
"0987654321fedcba87654321"
],
"operatingSystems": [
"windows", "linux", "mac"
],
"s3UploadConfig": {
"bucket": "osquery-bucket-test",
"region": "eu-north-1",
"roleArn": "arn:aws:iam::000000000000:role/osquery-role",
"externalId": "000000000000000000000"
}
},
"jsonrpc": "2.0",
"method": "runLiveSearchQuery",
"id": "123-456-789-1011"
}
响应 :
{
"id": "123-456-789-1011",
"jsonrpc": "2.0",
"result": "000000000000000000000000"
}