より高度な SQL ユーザーは、オープン テキストの SQL Builder を使用して、クエリの実行をよりきめ細かく行うことができます。推奨クエリは、直接実行するか、環境に応じて変更した後で実行することもできます。

前提条件

有効な SQL クエリを記述するには、次のリソースを参照してください。

手順

  1. [Live Query] > [新しいクエリ] 画面の順に移動し、[SQL クエリ] タブでクエリを定義します。
  2. エンドポイントを含むポリシー、またはクエリを実行する特定のエンドポイントを選択します。
    エンドポイントがないポリシーを選択すると、警告テキストが表示されます。
  3. SQL 構成フィールドに SQL 文字列を入力します。
    SQL は、推奨クエリ、Query Exchange からコピーするか、Osquery スキーマに基づいて書き込むことができます。
  4. Live Query を以下のいずれかの方法で実行します。
    • 1 回限りのクエリを開始するには、[実行] をクリックします。
    • クエリを毎日、毎週、または毎月実行するようにスケジューリングするには、[クエリのスケジュール] を選択します。

1 回限りのクエリの実行と管理

手順

  1. すべての必須フィールドに入力した後、1 回限りのクエリを実行するには、[クエリのスケジュール] チェック ボックスをオフのままにします。
  2. 必要に応じて、[クエリ結果のサマリをメールで送る] を選択します。
  3. 今すぐクエリを実行するには、[実行] をクリックします。
  4. [Live Query] > [クエリ結果] > [1 回限り] タブの順に移動します。
    クエリは、クエリのリストの一番上に表示されます。
  5. オプション。クエリの結果の詳細を表示するには、クエリ名をクリックします。
    Carbon Black Cloud コンソールには、クエリ専用の画面が表示され、結果とデバイスの応答をフィルタリングすることもできます。詳細については、 クエリ結果の表示 を参照してください。
  6. オプション。クエリ構成と SQL 文字列を表示するには、クエリ名の横にある [クエリの詳細] アイコンを選択します。
  7. クエリの実行中に、クエリを停止、再実行、スケジュール設定、複製、または削除するには、[アクション] 列を見つけて下矢印をクリックします。
    [アクションの実行] ドロップダウン メニューを選択して、クエリ専用の画面からスケジュールを除くこれらのアクションを実行することもできます。
  8. クエリに関連するすべての変更のレコードを表示するには、[設定] > [監査ログ] 画面に移動します。

次のタスク

1 回限りのクエリをスケジュールしたり、新しい Live Query をスケジュールしたりできます。クエリのスケジュール設定の例については、 推奨クエリのスケジュール設定と管理を参照してください。