Hvis du har Cortex XDR med Host Insight så vil jeg anbefale å kjøre denne som en XQL-QUERY:
config case_sensitive = false
| dataset = host_inventory
| arrayexpand disks
| alter disks = json_extract(disks, "$.name"), free_space = to_integer(json_extract(disks, "$.free_space")), size = json_extract(disks, "$.size")
| alter free_space_KB = divide(free_space, 1024) // convert bytes to KB
| alter free_space_MB = divide(free_space_KB, 1024) // convert KB to MB
| alter free_space_GB = divide(free_space_MB, 1024) // convert MB to GB
| filter free_space_GB < 1
| filter (disks = """\"C:\"""")
| fields disks , free_space_MB , _time , host_name , agent_domain , ip_addresses , os_caption
| dataset = host_inventory
| arrayexpand disks
| alter disks = json_extract(disks, "$.name"), free_space = to_integer(json_extract(disks, "$.free_space")), size = json_extract(disks, "$.size")
| alter free_space_KB = divide(free_space, 1024) // convert bytes to KB
| alter free_space_MB = divide(free_space_KB, 1024) // convert KB to MB
| alter free_space_GB = divide(free_space_MB, 1024) // convert MB to GB
| filter free_space_GB < 1
| filter (disks = """\"C:\"""")
| fields disks , free_space_MB , _time , host_name , agent_domain , ip_addresses , os_caption
 |
| Lagre den som Widget to library og legg til default Dashboard. |
 |
| Den vil da se ca slik ut på ditt Dashboard |
Denne er kun for disk c: og kun der det er mindre ledig en 1GB, dette kan du selvfølgelig endre på om du ønsker det.