Fragen stellen

Wenn Sie Fragen mit Tanium Interact stellen, können Sie Informationen von Endpunkten empfangen. Sie können beispielsweise eine Frage stellen, die bestimmt, ob auf Endpunkten kritische Sicherheits-Patches fehlen. Basierend auf den Fragenergebnissen, die die Endpunkte zurückgeben, können Sie dann Aktionen verteilen, z. B. die Installation von Sicherheits-Patches.

Für Details zur Manipulation und Analyse von Frageergebnissen siehe Verwalten von Fragenergebnissen.

Details zur Verteilung von Aktionen finden Sie unter Bereitstellen von Aktionen.

Für die Benutzerrollen und Berechtigungen, die erforderlich sind, um Fragen auszugeben, siehe Berechtigungen für Tanium Interact.

Was ist eine Frage?

Eine Tanium-Frage ist eine Anfrage, die Sie von TaaSdem Tanium Server an verwaltete Endpunkte ausgeben. Eine dynamische Frage ist eine Frage, die Sie über die Funktionen Explore Data (Daten erkunden) oder Question Builder (Fragenersteller) in Interact erstellen und ausgeben. Eine gespeicherte Frage ist ein Konfigurationsobjekt, das es Ihnen ermöglicht, eine Frage erneut auszugeben, ohne sie über diese Funktionen neu erstellen zu müssen.

Die Funktion Explore Data (Daten erkunden) ist auf einem Parser für natürliche Sprachen aufgebaut, der es Ihnen ermöglicht, mit natürlichen Fragen anstatt mit einer speziellen Abfragesprache zu beginnen. Sie müssen keine Fragen als vollständige Sätze oder besonders gut formulierte Anfragen eingeben. Wortformulare haben keine Groß- und Kleinschreibung und können sogar Schreibfehler enthalten. Der Parser interpretiert Ihre Eingabe und schlägt eine Reihe gültiger Abfragen vor, die Sie verwenden können, um die Frage zu formalisieren, die an Tanium Clients gesendet wird. Interact bietet die Funktion Explore Data (Daten erkunden) als Texteingabefeld oben auf der Interact-Seite Overview (Übersicht) und der Tanium-Startseite.

Die folgende Abbildung zeigt ein Beispiel dafür, wie Interact den Parser für natürliche Sprache zum Vorschlagen gültiger Anfragen basierend auf der Benutzereingabe einsetzt. Zuerst gibt der Benutzer das Fragment last logged in user (zuletzt angemeldeter Benutzer) ein und klickt auf Search (Suchen). Als Antwort gibt Interact eine Liste von Abfragen zurück, die in gültiger Syntax ausgeführt wurden.

Abbildung 1:  Parser für natürliche Sprachen

Fragen besitzen eine Get-Klausel, die die abzurufenden Informationen festlegt, und eine Auswahlbedingung, die die Ziel-Endpunkte festlegt. Grundlegende Fragen umfassen Folgendes:

  • Einen oder mehrere Sensornamen [wie Last Logged In User (Zuletzt angemeldeter Benutzer)] in der Get-Klausel
  • From all machines (Von allen Computern) (alle Endpunkte, die den Tanium Client hosten) in der Auswahlbedingung

Zu den erweiterten Fragen gehören Filterklauseln und parametrisierte Sensoren.

Weitere Informationen zur Fragensyntax finden Sie unter Referenz: Beispielfragen und Referenz: Erweiterte Fragensyntax.

Was ist ein Sensor?

Ein Sensor ist ein Skript, das auf einem Endpunkt ausgeführt wird, um eine Antwort auf eine Tanium-Frage zu berechnen. Tanium as a Service (TaaS)Der Tanium Server verteilt während der Registrierung des Tanium Client Sensoren an Endpunkte. Sensoren ermöglichen es Ihnen, Fragen zu stellen, die Informationen wie die folgenden sammeln:

  • Hardware- und Softwarebestand und -konfiguration
  • Ausführen von Anwendungen und Prozessen
  • Dateien und Verzeichnisse
  • Netzwerkverbindung

TaaS bietet Der Installationsprozess für den Tanium Server importiert automatisch das Tanium™ Standard- und Tanium™ Interact-Inhaltspaket, das Sensoren für eine Vielzahl häufig gestellter Fragen enthält. Andere Tanium-Lösungen, die Sie importieren, können weitere Sensoren bieten, je nachdem, welche Tanium-Inhaltspakete oder Tanium-Lösungsmodule Sie importieren. Wenn Sie einen benötigten Sensor nicht in den von Tanium bereitgestellten Inhalten finden, können Sie benutzerdefinierte Sensoren erstellen.

Weitere Informationen finden Sie unter Sensoren verwalten.

Fragen zählen und nicht zählen

Eine Zählfrage gibt Ergebnisse zurück, in denen es möglich ist, dass eine bestimmte Antwortzeichenkette für mehrere Endpunkte identisch ist. Das Raster Question Results (Fragenergebnisse) enthält die Spalte Count (Anzahl), die anzeigt, wie viele Endpunkte eine gemeinsame Antwort zurückgegeben haben. Eine Zählfrage kann nur einen Sensor haben. Get Operating System from all machines (Betriebssystem von allen Maschinen abrufen) ist ein Beispiel für eine Zählfrage mit einem Sensor, der das Betriebssystem von verwalteten Endpunkten zurückgibt. Wenn ein Endpunkt seine Antwort zur Antwortnachricht hinzufügt, erhöht er die Anzahl der Antworten, die mit seinem Wert übereinstimmen. TaaSDer Tanium Server behält eine Tabelle mit Antwortzeichenketten bei. In vielen Fällen, wie z. B. dem Betriebssystem, geben viele Endpunkte nur einige allgemeine Antworten zurück, sodass die Frage einen relativ geringen Platzbedarf auf TaaSdem Tanium Server hat.

Abbildung 2:  Zählfrage

Eine Nicht-Zählfrage enthält Sensoren, die von jedem Endpunkt eine eindeutige Antwort-Zeichenkette zurückgeben. Zum Beispiel gibt Get IP Address from all machines (IP-Adresse von allen Maschinen abrufen) IP-Adressen zurück, die eindeutig sind. Bei einer nicht-zählenden Frage fügt der Tanium Client der Antwortnachricht eine neue Zeichenkette hinzu, anstatt die Anzahl für eine vorhandene Zeichenkette zu erhöhen. Die Datenmenge kann für eine Nicht-Zählfrage deshalb auf TaaSdem Tanium Server groß sein.

Abbildung 3:  Nicht-Zählfrage

Um eine Frage mit einzelnem Sensor mit dem Question Builder (Fragenersteller) zu erstellen, haben Sie die Möglichkeit, eine Zählfrage in eine Nicht-Zählfrage zu konvertieren, und zwar in Fällen, in denen eine Zählfrage die Antwort zu viele Ergebnisse zurückgibt.

Fragen mit mehreren Sensoren

Wenn Sie eine Frage erstellen, verwenden Sie den AND-Operator in der Get-Klausel, um mehrere Sensoren anzugeben. Die Seite Question Results (Fragenergebnisse) gruppiert Ergebnisse nach dem ersten Sensor, dann nach dem nächsten Sensor und so weiter, wie das folgende Beispiel veranschaulicht.

Abbildung 4:  Frage mit mehreren Sensoren

Fragen mit parametrisierten Sensoren

Ein parameterized sensor (parametrisierter Sensor) verwendet einen Wert, den Sie beim Eingeben der Frage in das Feld Explore Data (Daten erkunden) oder in den Question Builder (Fragenersteller) angeben. Das folgende Beispiel zeigt den Sensor [Registry Value Data (Daten des Registry-Werts)]. Die Tanium Console fordert Sie auf, einen Registry-Pfad und Wert anzugeben.

Abbildung 5:  Parametrisierter Sensor

Ein weiteres Beispiel ist der Sensor für High CPU Processes (Prozesse mit hoher Auslastung der Zentraleinheit) (Central Processing Unit, CPU). Sie können einen Parameter angeben, der die Anzahl der CPU-Prozesse darstellt, die von jedem Gerät zurückgegeben werden sollen. Beispielsweise möchten Sie vielleicht die Top-5-Prozesse mit der höchsten CPU-Auslastung abfragen. Die Frage hat die folgende Syntax:

Prozesse mit hoher CPU-Auslastung[5] von allen Maschinen abrufen

Bei Sensoren mit mehreren Parametern können Sie eine durch ein Komma getrennte, geordnete Liste angeben. Um beispielsweise die ersten 10 Zeilen aus dem Aktionsprotokoll für die Aktion mit der ID 1 anzuzeigen, geben Sie eine Parameterliste wie folgt an:

Tanium-Aktionsprotokoll [1,10]von allen Maschinen abrufen

Für mehr Details, siehe Example: (Beispiel:) Parametrisierte Sensoren.

Fragen mit Filtern

Sie können Filter verwenden, um Fragen zu erstellen, die weniger Endpunkte als all Machines (alle Computer) anvisieren. Die folgende erweiterte Frage visiert beispielsweise Endpunkte an, die über einen bestimmten Prozessnamen oder Wert verfügen.

Abbildung 6:  Fragenfilter

Die linke Seite (Get-Klausel) ist eine vollständige und gültige Abfrage; die rechte Seite enthält einen Filter: den Ausdruck from all machines with (von allen Computern mit).  Filter in der Auswahlbedingung sind der erste Teil einer Frage, die ein Endpunkt verarbeitet. Wenn die Endpunktdaten nicht mit dem Filter übereinstimmen, verarbeitet der Endpunkt die Frage nicht weiter. Wenn die Frage mehrere Filter enthält, wertet der Endpunkt jeden Filter aus. Der Filterausdruck muss zu einem Booleschen True (Wahr) oder False (Falsch) ausgewertet werden. Zum Beispiel wird der Ausdruck bei allen Maschinen mit laufenden Prozessen ist das Erkunden enthalten als wahr ausgewertet, wenn die angegebene Zeichenkette mit der Ergebniszeichenkette übereinstimmt oder als falsch, wenn dies nicht der Fall ist. Wenn ein Filter als True (Wahr) ausgewertet wird, führt der Endpunkt die Sensoren auf der linken Seite der Frage aus und gibt die Ergebnisse zurück.

Ein parametrisierter Sensor wie File Exists[] (Datei vorhanden[]) gibt das Ergebnis File Exists: aus Filename (Datei vorhanden: Dateiname) oder File does not exist (Datei nicht vorhanden) zurück, daher müssen Sie darauf achten, wie Sie den Sensor in einen Filterausdruck eingeben.

Abbildung 7:  Beispiel: Frage mit parametrisiertem Sensor

Der Filterausdruck from all machines with File Exists (von allen Maschinen mit vorhandenen Dateien)["C:\Program Files\PuTTY\putty.exe"] mit [Exists (Vorhanden)] wird als [true (wahr)] ausgewertet, wenn das Ergebnis lautet: File Exists: (Datei vorhanden:) C:\Program Files\PuTTY\putty.exe, und als False (Falsch), wenn das Ergebnis File does not exist (Datei nicht vorhanden) lautet, also können Sie ihn verwenden, um den Antwortsatz zu filtern.

Abbildung 8:  Beispiel: Filter mit parametrisiertem Sensor

Filterausdrücke können Zeichenketten oder regulären Ausdrücke entsprechen. Die folgende Tabelle beschreibt die unterstützten Filteroperatoren, wie sie beim Verwenden des Fragenerstellers erscheinen. Die Tabelle beschreibt auch, wie einige Operatoren normalisiert werden, nachdem Sie sie aus dem Fragenersteller geladen oder die Ausdrücke in das Feld Explore Data (Daten erkunden) eingeben haben.

 Tabelle 1: Filteroperatoren
Filteroperator Nutzung
enthält Der Sensorwert enthält die angegebene Zeichenkette.

Beispiel: laufende Prozesse enthalten Explore (Erkunden)
enthalten nicht Der Sensorwert enthält nicht die angegebene Zeichenkette.
beginnt mit Der Sensorwert beginnt mit der angegebenen Zeichenkette.

Beispiel: beginnt mit Explore (Erkunden)

Wenn Sie die Frage laden, wird der Ausdruck mit dem Operator Übereinstimmungen in einen regulären Ausdruck übersetzt.

beginnt nicht mit Sensorwert beginnt nicht mit der angegebenen Zeichenkette.
endet mit Der Sensorwert endet mit der angegebenen Zeichenkette.

Beispiel: endet mit „explore.exe“

Wenn Sie die Frage laden, wird der Ausdruck mit dem Operator Übereinstimmungen in einen regulären Ausdruck übersetzt.

endet nicht mit Der Sensorwert endet nicht mit der angegebenen Zeichenkette.
stimmt überein Der Sensorwert stimmt mit dem angegebenen regulären Ausdruck (in Boost-Syntax) überein.
stimmt nicht überein Der Sensorwert stimmt nicht mit dem angegebenen regulären Ausdruck überein.
in Der Sensorwert stimmt mit einer der angegebenen Zeichenketten überein. Verwenden Sie Kommas ohne Leerzeichen, um die Zeichenketten zu trennen. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld den Operator ist gleich und oder anstelle von in.

Beispiel: Der Filter in „10.10.10.10,10.10.10.11“ im Fragenersteller wird zu IP-Adresse entspricht 10.10.10.10 oder IP-Adresse gleich 10.10.10.11, wenn Sie die Frage laden.
entspricht Der Sensorwert entspricht dem angegebenen Wert oder der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld den Operator ist gleich anstelle von entspricht.
ist nicht gleich Der Sensorwert entspricht nicht dem angegebenen Wert oder der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld den Operator ist nicht gleich anstelle von entspricht nicht.
kleiner als Der Sensorwert ist kleiner als der angegebene Wert. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld ein Symbol (<) anstelle der Operator-Wörter.

Beispiel: installierte Anwendungsversion[chrome] <12
ist kleiner als oder gleich Der Sensorwert ist kleiner als oder gleich der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld Symbole (<=) anstelle der Operator-Wörter.

Beispiel: installierte Anwendungsversion[chrome] <= 12
ist größer als Der Sensorwert ist größer als der angegebene Wert. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld ein Symbol (>) anstelle der Operator-Wörter.

Beispiel: installierte Anwendungsversion[chrome] >12
ist größer als oder gleich Der Sensorwert ist größer als oder gleich der angegebenen Zeichenkette. Wenn Sie die Frage laden, verwendet der Ausdruck im Fragefeld Symbole (>=) anstelle der Operator-Wörter.

Beispiel: installierte Anwendungsversion[chrome] >= 12

Siehe Referenz: Erweiterte Fragensyntax für Beispiele komplexer Filterausdrücke, einschließlich Fragen mit mehrspaltigen Sensoren.

Eine Frage über das Feld „Explore Data (Daten erkunden)“ ausstellen

Das Interact-Feld Explore Data (Daten erkunden) enthält ein Texteingabefeld, das Sie verwenden können, um schnell dynamische Fragen zu erstellen. Das Feld ist besonders nützlich, wenn Sie einfache Fragen ausgeben möchten oder wenn Sie die Fragensyntax von Tanium ausreichend gut verstehen, um erweiterte Fragen, die Filter, reguläre Ausdrücke oder Operatoren beinhalten, manuell einzugeben.

Wenn Sie Hilfe bei der Erstellung von Fragen benötigen, lesen Sie Eine Frage über den Fragenersteller ausgeben. Einzelheiten zur Fragensyntax finden Sie unter Referenz: Beispielfragen und Referenz: Erweiterte Fragensyntax.

  1. Gehen Sie zur Tanium-Startseite oder zur Interact-Seite Overview (Übersicht).
  2. Geben Sie Ihre Frage in das Feld Explore Data (Daten erkunden) oben auf der Seite ein.

    Interact verwendet einen Parser für natürliche Sprache, um Ihre Eingabe zu interpretieren. Der Fragetext kann in natürlicher englischer Sprache eingegeben werden und erfordert keine vollständigen Sätze, korrekte Fallverwendung oder streng korrekte Rechtschreibung.

    Wenn Sie keine Auswahlbedingung in der Frage angeben, verwendet Interact den Standard from all machines (von allen Computern). Dieser Standardwert gibt an, dass alle verwalteten Endpunkte, für die Sie über Computergruppen-Verwaltungsrechte verfügen, die Frage beantworten.

  3. Klicken Sie auf Search (Suche).

    Interact zeigt eine Reihe vorgeschlagener Fragen in gültiger Syntax an, die von oben nach unten in der Reihenfolge ihrer Ähnlichkeit zu Ihrem Fragetext aufgeführt werden. Wenn Sie beispielsweise last logged in user (zuletzt angemeldeter Benutzer) eingegeben haben, könnte die oberste Frage Get Last Logged In User from all machines (Letzten angemeldeten Benutzer von allen Maschinen abrufen) lauten.



    Wenn Ihr Fragetext einen parametrisierten Sensor enthält, zeigt Interact die Anzahl der Parameter für jede vorgeschlagene Frage an.

  4. Klicken Sie auf eine vorgeschlagene Frage, um sie auszugeben. Wenn die Frage einen parametrisierten Sensor umfasst, klicken Sie auf Expand (Erweitern) Erweitern, geben Sie den Parameterwert ein, und klicken Sie auf Ask Question (Frage stellen), um die Frage auszugeben.

    Die Seite Question Results (Fragenergebnisse) wird geöffnet, um die Antworten von Endpunkten anzuzeigen.

Einzelheiten und Aufgaben in Bezug auf Fragenergebnisse finden Sie unter Verwalten von Fragenergebnissen.

Eine Frage über den Fragenersteller ausgeben

Der Question Builder (Fragenersteller) enthält eine geführte Methode für die Erstellung einer dynamischen Frage. Er enthält Formularfelder, die Ihnen helfen sollen, die Get-Anweisung und die Auswahlbedingung, einschließlich aller Filter, abzuschließen.

Abbildung 9:  Frageersteller

  1. Öffnen Sie die Seite Question Builder (Fragenersteller):
    • Um eine neue Frage zu erstellen, klicken Sie auf Build Question (Frage erstellen) neben dem Feld Explore Data (Daten erkunden) auf der Tanium-Startseite.
    • Um eine bereits ausgegebene Frage zu verfeinern, klicken Sie auf Copy to Question Builder (Zu Fragenersteller kopieren) unter dem Fragefeld auf der Seite Question Results (Fragenergebnisse).
    • Sie können auch über das Interact-Menü auf die Seite Question Builder (Fragenersteller) zugreifen.
  2. Klicken Sie auf + Add (Hinzufügen) unter Get the following data (Die folgenden Daten abrufen), um die Get-Anweisung zu erstellen. Eine Zeile mit einem Textfeld für die Eingabe eines Sensornamens wird angezeigt.
  3. Beginnen Sie mit der Eingabe im Sensornamensfeld, verwenden Sie die Vorschläge, um einen Sensor auszuwählen, und klicken Sie auf Apply (Anwenden).


    Alternativ können Sie auf Browse all Sensors (Alle Sensoren durchsuchen) unter dem Sensornamensfeld klicken, um den Dialog Browse Sensors (Sensoren durchsuchen) zu öffnen und einen Sensor auszuwählen. Im unteren Teil des Dialogs wird die Beschreibung des Sensors angezeigt.

  4. Für einen Sensor, der Daten über mehrere Spalten hinweg Fragenergebnisse erzeugt, können Sie Filter basierend auf Spaltendatenübereinstimmungen hinzufügen. Klicken Sie im Question Builder (Fragenersteller) auf Add Filter (Filter hinzufügen) unter dem Sensorfeld, um einen Filter zu konfigurieren. Standardmäßig gilt die Filterzuordnung für eine einzelne Spalte, die Sie in der ersten Dropdown-Liste unter dem Sensornamen auswählen. Beachten Sie, dass eine Einzelspaltenfilterung nur funktioniert, wenn die Sensordefinition Spaltentrennzeichen mit einem einzelnen Zeichen spezifiziert (z. B. „|“), und nicht mit mehreren Zeichen (z. B. „|:“). Um die Übereinstimmung mit allen Spalten für einen Sensor zu übernehmen, wählen Sie Row Filter (Zeilenfilter).



    Sie können übereinstimmende Operatoren auswählen und reguläre Ausdrücke angeben, um Zeichenketten abzugleichen. Um auf Teilzeichenketten abzugleichen, wählen Sie das Kästchen Substring (Teilzeichenkette), und geben Sie eine Startposition (wobei 0 die erste Position ist) und die Anzahl der Zeichen (Länge) an.

  5. (Optional) Wenn Sie einen Filter in den Abschnitten Get the following data (Die folgenden Daten abrufen) oder from computers with (von Computern mit) hinzufügen, können Sie auf Advanced Sensor Options (Erweiterte Sensoroptionen) unter dem Filter klicken, um die folgenden Einstellungen zu konfigurieren:
     Tabelle 2: Erweiterte Sensoreinstellungen
    EinstellungenRichtlinien
    Groß-/KleinschreibungGruppen-Zeichenketten:
    • Fall ignorieren: Gruppen- und Zählerergebniswerte unabhängig von Unterschieden in Großbuchstaben und Kleinbuchstaben.
    • Groß-/Kleinschreibung: Gruppen- und Zählerergebniswerte mit strikter Aufmerksamkeit auf Groß- und Kleinschreibung.
    AbgleichenDiese Option ist nur im Abschnitt from computers with (von Computern mit) verfügbar.

    Bei einigen Sensoren kann ein Tanium Client mehrere Ergebnisse berechnen. Wenn der Sensor als Filter in der Auswahlbedingung verwendet wird, legen Sie fest, ob einige oder alle Ergebnisse mit dem Filter übereinstimmen müssen:

    • Beliebigen Wert abgleichen: Jeder Wert in der Antwort muss mit dem in der Frage angegebenen Wert übereinstimmen.
    • Alle Werte abgleichen: Alle Werte in der Antwort müssen mit dem in der Frage angegebenen Wert übereinstimmen.

    So ist es beispielsweise möglich, dass ein Tanium Client sowohl eine Ipv4-Adresse als auch eine Ipv6-Adresse als Antwort auf den Sensor-IP-Adresse zurückgibt. Eine Frage auf Basis der Sensor-IP-Adresse, die 192.168 enthält, könnte beispielsweise der Ipv4-Adresse entsprechen, aber nicht die Ipv6-Adresse. In diesem Fall möchten Sie wahrscheinlich die Option Match Any Value (Beliebigen Wert abgleichen).

    Daten behandeln alsInteract behandelt Sensorwerte als den Datentyp, den Sie festlegen:
    TypBeispiele
    Datum/Uhrzeit (BES)Fri, 29 Jan 2021 13:14:39 -0500
    Datum/Uhrzeit (WMI)20210129131439.999999-500
    Dateigröße8192 KB
    1-100 MB
    125 MB
    34 GB
    Integer-100
    0
    64428
    100000000
    IP-Adresse10.70.144.52
    fe80::8c22:fed6:7720:3c96
    Numerisch-100,77
    0,25
    1
    3.1415926534
    10.20.30.40
    512:17472:192.168.2.187_512:0:98.30.236.25
    1.0e-10
    Text(kann jede gültige Zeichenkette sein)
    Dauer42 Minuten
    8 Stunden
    Weniger als 1 Tag
    2 Wochen
    36 Tage
    2 Jahre, 3 Monate, 18 Tage, 4 Stunden, 22 Minuten und 3,67 Sekunden
    Version7.4.4.1250
    Datenhöchstalter Maximale Zeitspanne, für die der Tanium Client ein zwischengespeichertes Ergebnis zur Beantwortung einer Frage verwenden kann. Zum Beispiel beträgt das maximale Datenalter für den Sensor File Size (Dateigröße) standardmäßig 15 Minuten. Wenn einem Tanium Client eine Frage gestellt wird, die den Sensor Dateigröße ausführt, wird das Ergebnis zwischengespeichert. Wenn dem Tanium Client in den nächsten 15 Minuten eine Frage gestellt wird, die den Sensor Dateigröße enthält, antwortet er mit der zwischengespeicherten Antwort. Nach 15 Minuten, wenn dem Tanium Client eine Frage gestellt wird, die den Sensor Dateigröße enthält, führt er das Sensorskript erneut aus, um eine neue Antwort zu berechnen.

    Verwenden Sie ein kürzeres Alter für Sensoren, die häufig sich ändernde Werte liefern, wie z. B. Sensoren für Status und Nutzung. Verwenden Sie ein längeres Alter für Werte, die sich nicht häufig ändern, wie z. B. der Gehäusetyp oder die Active Directory Domain-Mitgliedschaft.

  6. Klicken Sie zum Erstellen der Auswahlbedingung auf die folgenden Schaltflächen unter from computers with (Von Computern mit) und klicken Sie dann auf Apply (Anwenden):
    • + Add (Hinzufügen): Fügen Sie eine oder mehrere Bedingungen hinzu, denen Endpunkte entsprechen müssen. Sie können das passende (Select Attribute (Auswahlattribut)) auf einem Sensor oder einer Computer Group (Computergruppe) (management group or filter group) (Verwaltungsgruppe oder Filtergruppe) basieren lassen.
    • + Gruppierung: Wählen Sie diese Option, um einen booleschen Operator zu verschachteln und wenden Sie dann + Add (Hinzufügen) an, um den verschachtelten Ausdruck zu erstellen.

    Sie können mehrere Filter konfigurieren, einschließlich verschachtelter Filter. Um beispielsweise die auf Computern installierten Webbrowser zu untersuchen, können Sie in der Auswahlbedingung die booleschen UND oder ODER auswählen, um moderne Browser anzuvisieren.

  7. (Optional) Klicken Sie auf Advanced Question Options (Erweiterte Frageoptionen) und aktivieren Sie Force Computer ID (Computer-ID erzwingen), wenn Sie eine Zählfrage eines einzelnen Sensors in eine Nicht-Zählfrage konvertieren möchten, indem Sie Tanium Clients dazu zwingen, die Computer-ID in ihre Antworten aufzunehmen. Beachten Sie, dass die Seite Question Results (Fragenergebnisse) die Ergebnisse der Computer-ID nicht enthält, wenn Sie diese Option auswählen. Die Umwandlung in eine Nicht-Zählfrage ist eine Problemumgehung, die Fälle behebt, bei denen eine Zählfrage die Antwort zu viele Ergebnisse zurückgibt. Details finden Sie im KB-Artikel Fehlerbehebung / Informationsmeldungen (zu viele Ergebnismeldungen).
  8. Klicken Sie auf Ask Question (Frage stellen), um die Frage zu stellen.

    Die Seite Question Results (Fragenergebnisse) wird geöffnet, um die Antworten von Endpunkten anzuzeigen.

Einzelheiten und Aufgaben in Bezug auf Fragenergebnisse finden Sie unter Verwalten von Fragenergebnissen.

Fragenablauf

Wenn Sie eine dynamische oder gespeicherte Frage ausgeben, weist TaaSder Tanium Server der Frage eine Frage-ID zu. Die Frage-ID wird im URL-Feld Ihres Webbrowsers angezeigt. In der URL https://10.20.30.40/#/interact/q/376 ist die Frage-ID beispielsweise 376.

Nach 10 Minuten verfällt die Frage-ID und ihre URL wird ungültig. Das bedeutet, dass Sie die Seite nur innerhalb dieses 10-Minuten-Zeitraums aktualisieren oder den Link freigeben können.

Wenn Sie nach 10 Minuten die URL aufrufen, zeigt Interact die Meldung Question Expired (Frage abgelaufen) an und gibt Ihnen die Möglichkeit, den Fragetext in das Fragefeld zu kopieren, sodass Sie ihn neu ausgeben können.

Fragenverlauf

Verwenden Sie die Seite Question History (Frageverlauf), um Fragen manuell neu auszugeben oder eine Chronologie der ausgegebenen Fragen sowie deren Syntax und andere Details (wie Emittent und Ablaufzeitstempel) anzuzeigen. Standardmäßig zeigt die Seite Question History (Frageverlauf) Fragen an, die in den letzten 24 Stunden ausgegeben wurden. Sie können den Datumsbereich ändern, um mehr Einträge anzuzeigen, oder Filter anwenden, um die angezeigten Einträge einzuschränken. Der Tanium Server führt standardmäßig sieben Tage einen Eintrag für eine Frage im Verlauf.

Standardmäßig basieren die Ablaufdatum-Zeiten der Frage auf der lokalen Zeit des Systems, das Sie für den Zugriff auf die Tanium-Konsole verwenden, aber Sie können zu koordinierter Weltzeit (Coordinated Universal Time, UTC) wechseln.

Benutzer benötigen eine Rolle mit der Berechtigung Read Question History (Fragenverlauf lesen), um die Seite Question History (Fragenverlauf) anzuzeigen. Diese Berechtigung ermöglicht es jedoch nicht, eine Frage aus der Seite Question History (Fragenverlauf) zu laden. Benutzer mit der reservierten Administratorrolle können die Seite Question History (Fragenverlauf) sehen und eine Frage von ihr laden.

Eine Frage neu ausgeben

Um eine Frage neu auszugeben, wählen Sie die Frage im Raster aus und klicken Sie auf Load (Laden). Die Tanium Console zeigt die Ergebnisse auf der Seite Question Results (Fragenergebnisse) an.

Fragenverlauf exportieren

Exportieren Sie Informationen aus dem Raster Question History (Fragenverlauf) als CSV-Datei, um die Informationen in einer Anwendung anzuzeigen, die dieses Format unterstützt. Wenn Sie die reservierte Rolle Administrator haben, können Sie die Informationen auch als JSON-Datei exportieren.

  1. Aus dem Hauptmenü gehen Sie zu Administration (Verwaltung) > Content (Inhalt) > Question History (Fragenverlauf)Administration (Verwaltung) > Management > Question History (Fragenverlauf).
  2. Wählen Sie Zeilen im Raster aus, um Informationen nur für bestimmte Fragen zu exportieren. Wenn Sie Informationen für alle Fragen exportieren möchten, überspringen Sie diesen Schritt.
  3. Klicken Sie auf Export (Exportieren) Export.
  4. (Optional) Bearbeiten Sie den Standard-Export Dateiname.

    Das Dateisuffix (.csv oder .json) ändert sich automatisch basierend auf der Format-Auswahl.

  5. Wählen Sie die Option Export Data (Daten exportieren): Exportieren Sie Informationen für alle All (Alle) Fragen im Raster oder nur für die Selected (ausgewählten) Fragen.
  6. Wählen Sie die Datei Format: CSV (Standard) oder JSON (nur reservierte Administrator Rolle).
  7. Klicken Sie auf Export (Exportieren).

    TaaSDer Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Details zum Verlauf der Frage kopieren

Kopieren Sie Details zum Fragenverlauf in Ihre Zwischenablage, um sie in eine Nachricht, Textdatei oder Tabellenkalkulation einzufügen. Jede Zeile im Raster ist eine kommagetrennte CSV (Character Separated Value)-Zeichenkette.

  1. Aus dem Hauptmenü gehen Sie zu Administration (Verwaltung) > Content (Inhalt) > Question History (Fragenverlauf)Administration (Verwaltung) > Management > Question History (Fragenverlauf).
  2. Führen Sie einen der folgenden Schritte aus:
    • Informationen zur Zeile kopieren: Wählen Sie eine oder mehrere Zeilen aus und klicken Sie auf [Copy (Kopieren)] Copy.
    • Informationen zur Zelle kopieren: Fahren Sie mit der Maus über die Zelle, klicken Sie auf [Options (Optionen)] und Optionenklicken Sie auf [Copy (Kopieren)] Copy.

Gespeicherte Fragen

Nachdem Sie eine dynamische Frage ausgegeben haben, können Sie auf Save (Speichern) über dem Fragefeld klicken, um die Fragensyntax als Konfigurationsobjekt mit zugeordneten Einstellungen zu speichern. Sie können die Frage dann erneut ausgeben, ohne sie erneut im Feld Explore Data (Daten erkunden) oder Question Builder (Fragenersteller) konstruieren zu müssen. Tanium as a Service (TaaS) bietet Tanium Inhaltspakete, die Sie importieren, bieten vordefinierte gespeicherte Fragen. Sie können gespeicherte Fragen manuell oder basierend auf einem konfigurierbaren Zeitplan ausgeben. Sie können gespeicherte Fragen auch über Tanium-Module oder benutzerdefinierte Anwendungen ausgeben, die die Tanium-XML-API verwenden. Einzelheiten finden Sie unter Verwalten gespeicherter Fragen.