Ansible Rolle: osquery

Ansible Rolle zum Installieren und Konfigurieren von osquery für Ubuntu.

Anforderungen

Keine.

Rollenvariablen

Verfügbare Variablen sind unten aufgelistet, zusammen mit Standardwerten (siehe defaults/main.yml). Sie können diese Werte überschreiben, indem Sie ein Dictionary mit dem Namen "osquery" erstellen.

Setzen Sie den Namen des osquery-Daemons.

daemon: "osqueryd"

Legen Sie den Speicherort des Konfigurationsverzeichnisses fest.

config_include_dir: "/etc/osquery"

Konfigurieren Sie den Plugintyp. Dokumentation

config_plugin: "filesystem"

Konfigurieren Sie das Logger-Plugin. Dokumentation

logger_plugin: "filesystem"

Konfigurieren Sie das Logger-Verzeichnis.

logger_path: "/var/log/osquery"

Deaktivieren Sie INFO-, WARN- und ERROR-Logs. Dies schreibt weiterhin Ergebnisse.

disable_logging: "false"

Streuen Sie das geplante Intervall für Abfragen.

schedule_splay_percent: 10

Schreiben Sie die PID des osqueryd-Prozesses in eine PID-Datei/Muskelsteuerung.

pidfile: "/var/osquery/osquery.pidfile"

Löschen Sie Ereignisse aus dem osquery-Backstore nach einer bestimmten Anzahl von Sekunden.

events_expiry: 3600

Ein Dateipfad für datenträgerbasierten Speicher, der für Ereignisse und Abfrageergebnisse verwendet wird.

database_path: "/var/osquery/osquery.db"

Komma-getrennte Liste von Tabellennamen, die deaktiviert werden sollen.

disable_tables: ""

Aktivieren Sie Debug- oder ausführliche Debug-Ausgaben beim Protokollieren.

verbose: "true"

Maximale Dateigröße beim Lesen.

read_max: 100000

Maximale Anzahl von Ereignissen pro Typ, die gepuffert werden sollen.

events_max: 100000

Aktivieren Sie den Zeitplanmonitor.

enable_monitor: "true"

Hostname oder UUID des Hosts, der osquery ausführt.

host_identifier: "hostname"

Abhängigkeiten

Keine.

Beispiel-Playbook

- hosts: alle
  rollen:
    - apolloclark.osquery

Lizenz

MIT / BSD

Autorinformationen

Diese Rolle wurde 2017 von Apollo Clark erstellt.