Enviar consultas OSQuery

La ventana Nueva consulta OSQuery consta de los siguientes campos:

• Nombre del notebook: los datos recogidos de la infraestructura del cliente se presentarán en un notebook con el nombre especificado en este campo.

• Descripción: descripción del tipo de datos obtenidos con la sentencia OSQuery y otra información que quiera añadir el analista.

• Equipos: lo datos se obtendrán de los equipos especificados:

  • Todos los equipos de los siguientes clientes: indica los nombres o identificadores de los clientes mediante el icono cuyos equipos recibirán la sentencia OSQuery. No permite especificar equipos individuales.

  • Los siguientes equipos: indica los identificadores (MUIDs) de los equipos mediante el icono que recibirán la sentencia OSQuery. Se pueden añadir equipos pertenecientes a diferentes clientes.

• Tiempo máximo de espera: las peticiones OSQuery pueden involucrar a equipos apagados por lo que no será posible obtener de ellos la información solicitada. Cytomic Orion intentará recuperar la información durante el intervalo indicado en el campo Tiempo máximo de espera, transcurrido el cual todas las peticiones serán canceladas y el proceso se dará por finalizado.

• Consulta: sentencia SQL en formato OSQuery. Consulta https://osquery.io/schema/4.2.0/ para más información sobre el esquema de datos.