Resultados de una sentencia OSQuery

Los resultados de la ejecución de una sentencia OSQuery se presentan en un notebook de formato cerrado, que se muestra a continuación:

Notebook con los resultados de una sentencia OSQuery

Consulta Investigación con notebooks para obtener más información sobre cómo gestionar y utilizar notebooks en Cytomic Orion.

  • Información del notebook (1): contiene los datos suministrados por el analista en el momento en que se creó la sentencia OSQuery: nombre de la sentencia, descripción, duración, ámbito de ejecución y la propia sentencia en lenguaje SQL.

  • Información de progreso (2): contiene varias series de datos indicando el número de equipos que completaron con éxito la operación:

    • Finished: número de equipos que completaron con éxito la operación y enviaron datos.

    • Error: número de equipos que devolvieron un error.

    • Pending: número de equipos que todavía no han devuelto información.

    • Cancelled: número de equipos que no devolvieron datos después de que haya pasado el tiempo especificado en el campo Tiempo máximo de espera.

  • Resultados de la sentencia OSQuery (3): contiene una tabla con los datos devueltos por la sentencia OSQuery y herramientas de filtrado y descarga de la información.

  • Controles para la descarga de datos (4): descarga dos ficheros con la información separada por comas, uno con los datos reportados por los equipos y otro con la información de estado de la petición.

  • Filtro (5): muestra las filas de la tabla de datos que coincidan con el criterio establecido. Admite búsquedas parciales en todos los campos de la tabla.

  • Tabla de datos (6): contiene una tabla con los campos solicitados por el analista en la sentencia OSQuery. El número máximo de registros mostrados es de 10.000, una vez superado se mostrará un mensaje de advertencia y se invitará al analista a su descarga (4). En todas las tablas de resultados se incluyen tres campos adicionales:

    • Customer id: es el identificador del cliente al que pertenece la información del registro.

    • Device Id: es el identificador del equipo utilizado en Cytomic EDR y Cytomic EPDR al que pertenece la información del registro.

    • Hostname: nombre del equipo al que pertenece la información del registro.

Ejecución de sentencias en segundo plano y el modo presentación

Consulta Persistencia del modo presentación para obtener más información sobre este modo de ejecución de los notebooks.

Debido a que las peticiones OSQuery se pueden alargar mucho en el tiempo si el campo Tiempo máximo de espera tiene un valor alto y los equipos afectados tardan en ser accesibles, es posible que el analista cierre el notebook antes de que la petición se haya completado. No obstante, debido a que las librerías OSQuery trabajan en segundo plano, la sentencia seguirá su curso aunque el notebook haya sido cerrado. Gracias al modo presentación, al abrir de nuevo el notebook éste mostrará los resultados recogidos justo antes de su cierre, pero no la información recogida desde el momento en que se cerró hasta su reapertura. Para actualizar la información haz clic en la opción Update results table o Update progress del notebook, o en el icono de la barra de herramientas para actualizar el notebook completo.