Fragen stellen

Wenn Sie Fragen mit Tanium Interact stellen, können Sie Informationen von Endpunkten empfangen. Sie können beispielsweise eine Frage stellen, die bestimmt, ob auf Endpunkten kritische Sicherheits-Patches fehlen. Basierend auf den Fragenergebnissen, die die Endpunkte zurückgeben, können Sie dann Aktionen verteilen, z. B. die Installation von Sicherheits-Patches. Eine Übersicht über Fragen und verwandte Konzepte finden Sie unter Übersicht über Interact. Für die Benutzerrollen und Berechtigungen, die zum Stellen von Fragen erforderlich sind, siehe Rollenanforderungen des Benutzers.

Eine Frage über das Feld „Explore Data (Daten erkunden)“ ausstellen

Die Interact-Funktion Explore Data (Daten erkunden) enthält ein Texteingabefeld, das Sie verwenden können, um schnell dynamische Fragen zu erstellen. Das Feld ist besonders nützlich, wenn Sie einfache Fragen ausgeben möchten oder wenn Sie die Fragensyntax von Tanium ausreichend gut verstehen, um erweiterte Fragen, die Filter, reguläre Ausdrücke oder Operatoren beinhalten, manuell einzugeben.

Wenn Sie Hilfe bei der Erstellung von Fragen benötigen, lesen Sie Eine Frage über den Fragenersteller ausgeben. Für Details zur Syntax der Frage, siehe Referenz: Beispielfragen und Referenz: Erweiterte Fragensyntax.

  1. Gehen Sie zur Tanium-Startseite oder zur Interact-Seite Overview (Übersicht).
  2. Geben Sie Ihre Frage in das Feld Explore Data (Daten erkunden) oben auf der Seite ein.

    Interact verwendet einen Parser für natürliche Sprache, um Ihre Eingabe zu interpretieren. Der Fragetext kann in natürlicher englischer Sprache eingegeben werden und erfordert keine vollständigen Sätze, korrekte Fallverwendung oder streng korrekte Rechtschreibung.

    Wenn Sie keine Auswahlbedingung in der Frage angeben, verwendet Interact den Standard from all machines (von allen Computern). Dieser Standardwert gibt an, dass alle verwalteten Endpunkte, für die Sie über Computergruppen-Verwaltungsrechte verfügen, die Frage beantworten.

  3. Klicken Sie auf Search (Suche).

    Interact zeigt eine Reihe vorgeschlagener Fragen in gültiger Syntax an, die von oben nach unten in der Reihenfolge ihrer Ähnlichkeit zu Ihrem Fragetext aufgeführt werden. Wenn Sie beispielsweise last logged in user (zuletzt angemeldeter Benutzer) eingegeben haben, könnte die oberste Frage Get Last Logged In User from all machines (Letzten angemeldeten Benutzer von allen Maschinen abrufen) lauten.



    Wenn Ihr Fragetext einen parametrisierten Sensor enthält, zeigt Interact die Anzahl der Parameter für jede vorgeschlagene Frage an.

  4. Klicken Sie auf eine vorgeschlagene Frage, um sie auszugeben. Wenn die Frage einen parametrisierten Sensor umfasst, klicken Sie auf Expand (Erweitern) Erweitern, geben Sie den Parameterwert ein, und klicken Sie auf Ask Question (Frage stellen), um die Frage auszugeben.

    Die Seite Question Results (Fragenergebnisse) wird geöffnet, um die Antworten von Endpunkten anzuzeigen.

Einzelheiten und Aufgaben in Bezug auf Fragenergebnisse finden Sie unter Verwalten von Fragenergebnissen.

Eine Frage über den Fragenersteller ausgeben

Der Question Builder (Fragenersteller) enthält eine geführte Methode für die Erstellung einer dynamischen Frage. Er enthält Formularfelder, die Ihnen helfen sollen, die Get-Anweisung und die Auswahlbedingung, einschließlich aller Filter, abzuschließen.

Abbildung 1:  Frageersteller

  1. Öffnen Sie die Seite Question Builder (Fragenersteller):
    • Um eine neue Frage zu erstellen, klicken Sie auf Build Question (Frage erstellen) neben dem Feld Explore Data (Daten erkunden) auf der Tanium-Startseite.
    • Um eine bereits ausgegebene Frage zu verfeinern, klicken Sie auf Copy to Question Builder (Zu Fragenersteller kopieren) unter dem Fragefeld auf der Seite Question Results (Fragenergebnisse).
    • Sie können auch über das Interact-Menü auf die Seite Question Builder (Fragenersteller) zugreifen.
  2. Klicken Sie auf + Add (Hinzufügen) unter Get the following data (Die folgenden Daten abrufen), um die Get-Anweisung zu erstellen. Eine Zeile mit einem Textfeld für die Eingabe eines Sensornamens wird angezeigt.
  3. Beginnen Sie mit der Eingabe im Sensornamensfeld, verwenden Sie die Vorschläge, um einen Sensor auszuwählen, und klicken Sie auf Apply (Anwenden).


    Alternativ können Sie auf Browse all Sensors (Alle Sensoren durchsuchen) unter dem Sensornamensfeld klicken, um den Dialog Browse Sensors (Sensoren durchsuchen) zu öffnen und einen Sensor auszuwählen. Im unteren Teil des Dialogs wird die Beschreibung des Sensors angezeigt.

  4. Für einen Sensor, der Daten über mehrere Spalten hinweg Fragenergebnisse erzeugt, können Sie Filter basierend auf Spaltendatenübereinstimmungen hinzufügen. Klicken Sie im Question Builder (Fragenersteller) auf Add Filter (Filter hinzufügen) unter dem Sensorfeld, um einen Filter zu konfigurieren. Standardmäßig gilt die Filterzuordnung für eine einzelne Spalte, die Sie in der ersten Dropdown-Liste unter dem Sensornamen auswählen. Beachten Sie, dass eine Einzelspaltenfilterung nur funktioniert, wenn die Sensordefinition Spaltentrennzeichen mit einem einzelnen Zeichen spezifiziert (z. B. „|“), und nicht mit mehreren Zeichen (z. B. „|:“). Um die Übereinstimmung mit allen Spalten für einen Sensor zu übernehmen, wählen Sie Row Filter (Zeilenfilter).



    Sie können übereinstimmende Operatoren auswählen und reguläre Ausdrücke angeben, um Zeichenketten abzugleichen. Um auf Teilzeichenketten abzugleichen, wählen Sie das Kästchen Substring (Teilzeichenkette), und geben Sie eine Startposition (wobei 0 die erste Position ist) und die Anzahl der Zeichen (Länge) an.

  5. (Optional) Wenn Sie einen Filter in den Abschnitten Get the following data (Die folgenden Daten abrufen) oder from computers with (von Computern mit) hinzufügen, können Sie auf Advanced Sensor Options (Erweiterte Sensoroptionen) unter dem Filter klicken, um die folgenden Einstellungen zu konfigurieren:
     Tabelle 1: Erweiterte Sensoreinstellungen
    EinstellungenRichtlinien
    Groß-/KleinschreibungGruppen-Zeichenketten:
    • Fall ignorieren: Gruppen- und Zählerergebniswerte unabhängig von Unterschieden in Großbuchstaben und Kleinbuchstaben.
    • Groß-/Kleinschreibung: Gruppen- und Zählerergebniswerte mit strikter Aufmerksamkeit auf Groß- und Kleinschreibung.
    AbgleichenDiese Option ist nur im Abschnitt from computers with (von Computern mit) verfügbar.

    Bei einigen Sensoren kann ein Tanium Client mehrere Ergebnisse berechnen. Wenn der Sensor als Filter in der Auswahlbedingung verwendet wird, legen Sie fest, ob einige oder alle Ergebnisse mit dem Filter übereinstimmen müssen:

    • Beliebigen Wert abgleichen: Jeder Wert in der Antwort muss mit dem in der Frage angegebenen Wert übereinstimmen.
    • Alle Werte abgleichen: Alle Werte in der Antwort müssen mit dem in der Frage angegebenen Wert übereinstimmen.

    So ist es beispielsweise möglich, dass ein Tanium Client sowohl eine Ipv4-Adresse als auch eine Ipv6-Adresse als Antwort auf den Sensor-IP-Adresse zurückgibt. Eine Frage auf Basis der Sensor-IP-Adresse, die 192.168 enthält, könnte beispielsweise der Ipv4-Adresse entsprechen, aber nicht die Ipv6-Adresse. In diesem Fall möchten Sie wahrscheinlich die Option Match Any Value (Beliebigen Wert abgleichen).

    Daten behandeln alsInteract behandelt Sensorwerte als den Datentyp, den Sie festlegen:
    TypBeispiele
    Datum/Uhrzeit (BES)Fri, 29 Jan 2021 13:14:39 -0500
    Datum/Uhrzeit (WMI)20210129131439.999999-500
    Dateigröße8192 KB
    1-100 MB
    125 MB
    34 GB
    Integer-100
    0
    64428
    100000000
    IP-Adresse10.70.144.52
    fe80::8c22:fed6:7720:3c96
    Numerisch-100,77
    0,25
    1
    3.1415926534
    10.20.30.40
    512:17472:192.168.2.187_512:0:98.30.236.25
    1.0e-10
    Text(kann jede gültige Zeichenkette sein)
    Dauer42 Minuten
    8 Stunden
    Weniger als 1 Tag
    2 Wochen
    36 Tage
    2 Jahre, 3 Monate, 18 Tage, 4 Stunden, 22 Minuten und 3,67 Sekunden
    Version7.4.4.1250
    Datenhöchstalter Maximale Zeitspanne, für die der Tanium Client ein zwischengespeichertes Ergebnis zur Beantwortung einer Frage verwenden kann. Zum Beispiel beträgt das maximale Datenalter für den Sensor File Size (Dateigröße) standardmäßig 15 Minuten. Wenn einem Tanium Client eine Frage gestellt wird, die den Sensor Dateigröße ausführt, wird das Ergebnis zwischengespeichert. Wenn dem Tanium Client in den nächsten 15 Minuten eine Frage gestellt wird, die den Sensor Dateigröße enthält, antwortet er mit der zwischengespeicherten Antwort. Nach 15 Minuten, wenn dem Tanium Client eine Frage gestellt wird, die den Sensor Dateigröße enthält, führt er das Sensorskript erneut aus, um eine neue Antwort zu berechnen.

    Verwenden Sie ein kürzeres Alter für Sensoren, die häufig sich ändernde Werte liefern, wie z. B. Sensoren für Status und Nutzung. Verwenden Sie ein längeres Alter für Werte, die sich nicht häufig ändern, wie z. B. der Gehäusetyp oder die Active Directory Domain-Mitgliedschaft.

  6. Klicken Sie zum Erstellen der Auswahlbedingung auf die folgenden Schaltflächen unter from computers with (Von Computern mit) und klicken Sie dann auf Apply (Anwenden):
    • + Add (Hinzufügen): Fügen Sie eine oder mehrere Bedingungen hinzu, denen Endpunkte entsprechen müssen. Sie können das passende (Select Attribute (Auswahlattribut)) auf einem Sensor oder einer Computer Group (Computergruppe) (management group or filter group) (Verwaltungsgruppe oder Filtergruppe) basieren lassen.
    • + Gruppierung: Wählen Sie diese Option, um einen booleschen Operator zu verschachteln und wenden Sie dann + Add (Hinzufügen) an, um den verschachtelten Ausdruck zu erstellen.

    Sie können mehrere Filter konfigurieren, einschließlich verschachtelter Filter. Um beispielsweise die auf Computern installierten Webbrowser zu untersuchen, können Sie in der Auswahlbedingung die booleschen UND oder ODER auswählen, um moderne Browser anzuvisieren.

  7. (Optional) Klicken Sie auf Advanced Question Options (Erweiterte Frageoptionen) und aktivieren Sie Force Computer ID (Computer-ID erzwingen), wenn Sie eine Zählfrage eines einzelnen Sensors in eine Nicht-Zählfrage konvertieren möchten, indem Sie Tanium Clients dazu zwingen, die Computer-ID in ihre Antworten aufzunehmen. Beachten Sie, dass die Seite Question Results (Fragenergebnisse) die Ergebnisse der Computer-ID nicht enthält, wenn Sie diese Option auswählen. Die Umwandlung in eine Nicht-Zählfrage ist eine Problemumgehung, die Fälle behebt, bei denen eine Zählfrage die Antwort zu viele Ergebnisse zurückgibt. Details finden Sie im KB-Artikel Fehlerbehebung / Informationsmeldungen (zu viele Ergebnismeldungen).
  8. Klicken Sie auf Ask Question (Frage stellen), um die Frage zu stellen.

    Die Seite Question Results (Fragenergebnisse) wird geöffnet, um die Antworten von Endpunkten anzuzeigen.

Einzelheiten und Aufgaben in Bezug auf Fragenergebnisse finden Sie unter Verwalten von Fragenergebnissen.

Fragenverlauf ansehen

Verwenden Sie die Seite Question History (Frageverlauf), um Fragen manuell neu auszugeben oder eine Chronologie der ausgegebenen Fragen sowie deren Syntax und andere Details (wie Emittent und Ablaufzeitstempel) anzuzeigen. Standardmäßig zeigt die Seite Question History (Frageverlauf) Fragen an, die in den letzten 24 Stunden ausgegeben wurden. Sie können den Datumsbereich ändern, um mehr Einträge anzuzeigen, oder Filter anwenden, um die angezeigten Einträge einzuschränken. Der Tanium Server führt standardmäßig sieben Tage einen Eintrag für eine Frage im Verlauf.

Standardmäßig basieren die Ablaufdatum-Zeiten der Frage auf der lokalen Zeit des Systems, das Sie für den Zugriff auf die Tanium-Konsole verwenden, aber Sie können zu koordinierter Weltzeit (Coordinated Universal Time, UTC) wechseln.

Benutzer benötigen eine Rolle mit der Berechtigung Read Question History (Fragenverlauf lesen), um die Seite Question History (Fragenverlauf) anzuzeigen. Diese Berechtigung ermöglicht es jedoch nicht, eine Frage aus der Seite Question History (Fragenverlauf) zu laden. Benutzer mit der reservierten Administratorrolle können die Seite Question History (Fragenverlauf) sehen und eine Frage von ihr laden.

Eine Frage neu ausgeben

Um eine Frage neu auszugeben, wählen Sie die Frage im Raster aus und klicken Sie auf Load (Laden). Die Tanium Console zeigt die Ergebnisse auf der Seite Question Results (Fragenergebnisse) an.

Fragenverlauf exportieren

Exportieren Sie Informationen aus dem Raster Question History (Fragenverlauf) als CSV-Datei, um die Informationen in einer Anwendung anzuzeigen, die dieses Format unterstützt. Wenn Sie die reservierte Rolle Administrator haben, können Sie die Informationen auch als JSON-Datei exportieren.

  1. Aus dem Hauptmenü gehen Sie zu Administration (Verwaltung) > Content (Inhalt) > Question History (Fragenverlauf)Administration (Verwaltung) > Management > Question History (Fragenverlauf).
  2. Wählen Sie Zeilen im Raster aus, um Informationen nur für bestimmte Fragen zu exportieren. Wenn Sie Informationen für alle Fragen exportieren möchten, überspringen Sie diesen Schritt.
  3. Klicken Sie auf Export (Exportieren) Export.
  4. (Optional) Bearbeiten Sie den Standard-Export Dateiname.

    Das Dateisuffix (.csv oder .json) ändert sich automatisch basierend auf der Format-Auswahl.

  5. Wählen Sie die Option Export Data (Daten exportieren): Exportieren Sie Informationen für alle All (Alle) Fragen im Raster oder nur für die Selected (ausgewählten) Fragen.
  6. Wählen Sie die Datei Format: CSV (Standard) oder JSON (nur reservierte Administrator Rolle).
  7. Klicken Sie auf Export (Exportieren).

    TaaSDer Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Details zum Verlauf der Frage kopieren

Kopieren Sie Details zum Fragenverlauf in Ihre Zwischenablage, um sie in eine Nachricht, Textdatei oder Tabellenkalkulation einzufügen. Jede Zeile im Raster ist eine kommagetrennte CSV (Character Separated Value)-Zeichenkette.

  1. Aus dem Hauptmenü gehen Sie zu Administration (Verwaltung) > Content (Inhalt) > Question History (Fragenverlauf)Administration (Verwaltung) > Management > Question History (Fragenverlauf).
  2. Führen Sie einen der folgenden Schritte aus:
    • Informationen zur Zeile kopieren: Wählen Sie eine oder mehrere Zeilen aus und klicken Sie auf [Copy (Kopieren)] Copy.
    • Informationen zur Zelle kopieren: Fahren Sie mit der Maus über die Zelle, klicken Sie auf [Options (Optionen)] und Optionenklicken Sie auf [Copy (Kopieren)] Copy.