Referenz: Erweiterte Fragensyntax

Reguläre Ausdrücke verwenden

Der Fragenparser unterstützt die Anpassung regulärer Ausdrücke (Boost-Syntax).

Das folgende Beispiel entspricht Computernamen, die mit dem Buchstaben c in der Domäne test.local beginnen.

Abbildung 1:  Anpassen eines regulären Ausdrucks

Der Sensor [Detect Primary Alerts (Primäre Alarme erkennen)] verwendet einen regulären Ausdruck, um Ergebnisse zu sammeln, die mit einer beliebigen Ziffer von 0–9 übereinstimmen. Da Detect-Alarme numerische IDs haben, schließt dieser Ausdruck leere Ergebnisse aus.

Abbildung 2:  Regulärer Ausdruck zum Ausschluss leerer Ergebnisse

Sie können auch eine Kombination aus Negation und regulären Ausdrücken verwenden, um Filterausdrücke zu erstellen. Beispielsweise verwendet die eingebaute Computergruppe No Computers (Keine Computer) eine Frage mit dem Ausdruck stimmt nicht überein und einem regulären Ausdruck (.*), um leere Ergebnisse anzupassen. Der Autor weiß, dass Computername immer eine Zeichenkette zurückgibt, es ist daher eine clevere Möglichkeit zum Ausschalten einer geplanten Aktion. Die Standard-Aktionsgruppe umfasst nur Keine Computer. Um zu verhindern, dass TaaSder Tanium Server bestimmte Aktionen für Endpunkte bereitstellt, ändern Sie diese Aktionen, um auf die Standard-Aktionsgruppe abzuzielen.

Abbildung 3:  Regulärer Ausdruck, um nichts zu anzupassen

Computergruppenfilter verwenden

Sie können Fragen ausgeben, die eine Computergruppe in der Auswahlbedingung angeben. Die Computergruppe kann eine Verwaltungsgruppe oder Filtergruppe sein (Details zu diesen Typen finden Sie unter Verwalten von Computergruppen.)

Bei Computergruppen mit filterdefinierter Mitgliedschaft konvertiert der Fragenparser den angegebenen Computergruppennamen in die Frage, die die Mitgliedschaft bestimmt. Im folgenden Beispiel wird die Computergruppe mit dem Namen Windows in ihre Definition geparst: is Windows contains true.

Abbildung 4:  Auswahlbedingung mit Computergruppe, die eine filterdefinierte Mitgliedschaft besitzt

Sensor-/Spaltenfilter verwenden

Mehrspalten-Sensoren sind so konzipiert, dass sie mehrere zusammenhängende Informationen in einer einzigen Antwort erfassen.

Abbildung 5:  Ergebnisse aus einem Mehrspalten-Sensor

Die Verwendung des regulären Ausdrucks starts with (beginnt mit), ends with (endet mit) oder contains (enthält) zum Filtern von Ergebnissen für einen Mehrspalten-Sensor, wie installierte Anwendungen, kann kompliziert sein, da die Ergebniszeichenkette für einen Mehrspalten-Sensor eigentlich eine einzelne Zeichenkette mit Spaltentrennzeichen ist. Wenn Sie nicht vorsichtig sind, können Sie eine Zeichenkette in einer unerwarteten Spalte oder unwissentlich mit einer Zeichenkette in einer verborgenen Spalte abgleichen, die Sie nicht einmal kennen. Sie können angeben, welche Spalte mit den Ergebnissen von Mehrspalten-Sensoren übereinstimmen soll. Die Syntax lautet get sensor having sensor:column contains value. Der Spaltenname unterscheidet zwischen Groß- und Kleinschreibung. Beachten Sie, dass eine Einzelspaltenfilterung nur funktioniert, wenn die Sensordefinition Spaltentrennzeichen mit einem einzelnen Zeichen spezifiziert (z. B. |), und nicht mit mehreren Zeichen (z. B. |:). Um Ergebnisse aus allen Spalten anzupassen, lautet die Syntax get sensor contains value.

Das folgende Beispiel verwendet einen Sensorspaltenfilter in der Klausel Get.

Abbildung 6:  Sensorspaltenfilter in der Get-Klausel

Das folgende Beispiel verwendet einen Sensorspaltenfilter sowohl in der Get-Klausel als auch in der Auswahlbedingung.

Abbildung 7:  Sensorspaltenfilter in der Get-Klausel und in der Auswahlbedingung

$substring() Filter verwenden

Sie können $substring()-Filter verwenden, um die Muster der Ergebniszeichenkette abzugleichen. Die Funktion $substring() nimmt folgende Argumente an: Sensorname, Startposition (wobei 0 die erste Position ist), Anzahl der Zeichen.

Das folgende Beispiel entspricht den Ergebnissen des Sensors für installierte Anwendungen, bei dem die ersten zwei Zeichen mit der Zeichenkette Go übereinstimmen.

Abbildung 8:  $substring() Filter

Der Filter $substring() wird mit Mehrspalten-Sensoren nicht unterstützt.

In-Operator verwenden

Sie können den Operator In verwenden, um eine Sammlung passender Sensorergebnisse festzulegen. Der Bediener nimmt eine durch Kommas getrennte Liste von Argumenten auf, die in ein boolesches ODER geparst werden.

Das folgende Beispiel verwendet den In-Operator, um einen Sensorfilter in der Auswahlbedingung mit Ergebnissen, die Virtual (Virtuell) oder Physical (Physisch) enthalten, zu entsprechen.

Abbildung 9:  In-Operator in der Auswahlbedingung

Das folgende Beispiel verwendet den In-Operator, um einem Sensorspaltenfilter in der Auswahlbedingung zu entsprechen.

Abbildung 10:  In-Operator mit einem Sensorspaltenfilter

Verschachtelte Filter verwenden

In der Auswahlbedingung einer Frage können Sie mehrere Filter konfigurieren, einschließlich verschachtelter Filter.

Die folgende Abbildung zeigt verschachtelte Filter im Question Builder (Fragenersteller). Das Beispiel kombiniert einen passenden Ausdruck mit einem der verschachtelten Ausdrücke.

Abbildung 11:  Verschachtelte Filter im Fragenersteller

Sie können verschachtelte Filter auch im Feld Explore Data (Daten erkunden) festlegen.

Abbildung 12:  Verschachtelte Filter im Feld [Explore Data (Daten erkunden)]

Das folgende Beispiel zeigt unterschiedliche boolesche Logik: diese beiden ODER diesen anpassen.

Abbildung 13:  Verschachtelte Filter im Feld [Explore Data (Daten erkunden)]

Erweiterte Sensoreinstellungen angeben

Die Antworten von Tanium Client müssen mit allen erweiterten Sensoreinstellungen übereinstimmen, die in einer Fragennachricht angegeben sind. Sie können erweiterte Sensoreinstellungen im Fragenersteller (siehe folgende Abbildung) oder im Feld Explore Data (Daten erkunden) konfigurieren.

Abbildung 14:  Fragenersteller: Erweiterte Sensoreinstellungen

In der folgenden Tabelle sind die erweiterten Sensoreinstellungen beschrieben.

 Tabelle 1: Erweiterte Sensoreinstellungen
Einstellungen Richtlinien
Groß-/Kleinschreibung Gruppen-Zeichenketten:
  • Fall ignorieren: Gruppen- und Zählerergebniswerte unabhängig von Unterschieden in Großbuchstaben und Kleinbuchstaben.
  • Groß-/Kleinschreibung: Gruppen- und Zählerergebniswerte mit strikter Aufmerksamkeit auf Groß- und Kleinschreibung.
Abgleichen Diese Option ist nur im Abschnitt from computers with (von Computern mit) verfügbar.

Bei einigen Sensoren kann ein Tanium Client mehrere Ergebnisse berechnen. Wenn der Sensor als Filter in der Auswahlbedingung verwendet wird, legen Sie fest, ob einige oder alle Ergebnisse mit dem Filter übereinstimmen müssen:

  • Beliebigen Wert abgleichen: Jeder Wert in der Antwort muss mit dem in der Frage angegebenen Wert übereinstimmen.
  • Alle Werte abgleichen: Alle Werte in der Antwort müssen mit dem in der Frage angegebenen Wert übereinstimmen.

So ist es beispielsweise möglich, dass ein Tanium Client sowohl eine Ipv4-Adresse als auch eine Ipv6-Adresse als Antwort auf den Sensor-IP-Adresse zurückgibt. Eine Frage auf Basis der Sensor-IP-Adresse, die 192.168 enthält, könnte beispielsweise der Ipv4-Adresse entsprechen, aber nicht die Ipv6-Adresse. In diesem Fall möchten Sie wahrscheinlich die Option Match Any Value (Beliebigen Wert abgleichen).

Daten behandeln als Interact behandelt Sensorwerte als den Datentyp, den Sie festlegen:
TypBeispiele
Datum/Uhrzeit (BES)Fri, 29 Jan 2021 13:14:39 -0500
Datum/Uhrzeit (WMI)20210129131439.999999-500
Dateigröße8192 KB
1-100 MB
125 MB
34 GB
Integer-100
0
64428
100000000
IP-Adresse10.70.144.52
fe80::8c22:fed6:7720:3c96
Numerisch-100,77
0,25
1
3.1415926534
10.20.30.40
512:17472:192.168.2.187_512:0:98.30.236.25
1.0e-10
Text(kann jede gültige Zeichenkette sein)
Dauer42 Minuten
8 Stunden
Weniger als 1 Tag
2 Wochen
36 Tage
2 Jahre, 3 Monate, 18 Tage, 4 Stunden, 22 Minuten und 3,67 Sekunden
Version7.4.4.1250
Datenhöchstalter Maximale Zeitspanne, für die der Tanium Client ein zwischengespeichertes Ergebnis zur Beantwortung einer Frage verwenden kann. Zum Beispiel beträgt das maximale Datenalter für den Sensor File Size (Dateigröße) standardmäßig 15 Minuten. Wenn einem Tanium Client eine Frage gestellt wird, die den Sensor Dateigröße ausführt, wird das Ergebnis zwischengespeichert. Wenn dem Tanium Client in den nächsten 15 Minuten eine Frage gestellt wird, die den Sensor Dateigröße enthält, antwortet er mit der zwischengespeicherten Antwort. Nach 15 Minuten, wenn dem Tanium Client eine Frage gestellt wird, die den Sensor Dateigröße enthält, führt er das Sensorskript erneut aus, um eine neue Antwort zu berechnen.

Verwenden Sie ein kürzeres Alter für Sensoren, die häufig sich ändernde Werte liefern, wie z. B. Sensoren für Status und Nutzung. Verwenden Sie ein längeres Alter für Werte, die sich nicht häufig ändern, wie z. B. der Gehäusetyp oder die Active Directory Domain-Mitgliedschaft.

Im folgenden Beispiel wird die Option Treat Data as <type>(Daten als behandeln) angegeben. Die Syntax lautet sensor?type=value.

Abbildung 15:  Erweiterte Sensoreinstellungen – Daten als Typ behandeln

Nur die Option Treat Data as Type (Daten als Typ behandeln) mit Vergleichsoperatoren, wie z. B. freier Speicher größer als 300, verwenden, wie im Beispiel gezeigt.

Das folgende Beispiel gibt die Option Max Age (Höchstalter) an. Die Syntax lautet sensor?maxAge=value. Wenn Sie maxAge im Feld Explore Data (Daten erkunden) festlegen, geben Sie eine Anzahl von Sekunden ein.

Abbildung 16:  Erweiterte Sensoreinstellungen – maxAge

Das folgende Beispiel gibt die Option Ignore Case (Fall ignorieren) an. Die Syntax lautet sensor?ignoreCase=value. 0 bedeutet, dass die Groß-/Kleinschreibung übereinstimmen muss, und 1 bedeutet, dass die Groß-/Kleinschreibung ignoriert wird.

Abbildung 17:  Erweiterte Sensoreinstellungen – ignoreCase

Das folgende Beispiel gibt die Option Matches All Option (Entspricht allen) an. Eine Maschine kann mehrere Schnittstellen und mehrere IP-Adressen für diese Schnittstellen aufweisen. In diesem Beispiel wird die Option Matches All Options (Entspricht allen) verwendet, um Ergebnisse nur für Computer mit allen IP-Adressen zu filtern, die der angegebenen Zeichenkette entsprechen. Sie können diese Option nur in der Auswahlbedingung angeben. Die Syntax lautet with all sensor contains value.

Abbildung 18:  Erweiterte Sensoreinstellungen – entspricht allen

Das folgende Beispiel zeigt, wie mehrere erweiterte Sensoroptionen festgelegt werden.

Abbildung 19:  Erweiterte Sensoreinstellungen – mehrere Einstellungen

Erweiterte Frageneinstellungen angeben

Aktivieren Sie die Einstellung Force Computer ID (Computer-ID erzwingen), um eine Zählfrage mit einem Sensor in eine Nicht-Zählfrage zu konvertieren. Hierzu müssen Sie Tanium Clients dazu zwingen, die Computer-ID in ihren Antworten aufzunehmen. Beachten Sie, dass die Seite Question Results (Fragenergebnisse) die Ergebnisse der Computer-ID nicht enthält, wenn Sie diese Option auswählen. Die Umwandlung in eine Nicht-Zählfrage ist eine Problemumgehung, die Fälle behebt, bei denen eine Zählfrage die Antwort zu viele Ergebnisse zurückgibt. Details finden Sie im KB-Artikel Fehlerbehebung / Informationsmeldungen (zu viele Ergebnismeldungen). Sie können die Einstellung im Feld Explore Data (Daten erkunden) aktivieren, indem Sie die Anweisung Get?forceComputerIdFlag=1 verwenden. Sie können die Einstellung auch im Question Builder (Fragenersteller) unter Advanced Question Options (Erweiterte Fragenoptionen) aktivieren.