Rol de Ansible: osquery

Rol de Ansible para instalar y configurar osquery en Ubuntu.

Requisitos

Ninguno.

Variables del Rol

Las variables disponibles se enumeran a continuación, junto con sus valores predeterminados (ver defaults/main.yml). Puedes sobreescribir estos valores creando un diccionario llamado "osquery".

Establecer el nombre del demonio osquery.

daemon: "osqueryd"

Establecer la ubicación del directorio de configuración.

config_include_dir: "/etc/osquery"

Configurar el tipo de plugin. doc

config_plugin: "filesystem"

Configurar el plugin de registro. doc

logger_plugin: "filesystem"

Configurar el directorio de registro.

logger_path: "/var/log/osquery"

Deshabilitar registros INFO, WARN y ERROR. Esto seguirá escribiendo resultados.

disable_logging: "false"

Dividir el intervalo programado para consultas.

schedule_splay_percent: 10

Escribir el PID del proceso osqueryd en un archivo PID/mutex.

pidfile: "/var/osquery/osquery.pidfile"

Limpiar eventos de la tienda de respaldo de osquery después de un número de segundos.

events_expiry: 3600

Una ruta de sistema de archivos para el almacenamiento basado en disco utilizado para eventos y resultados de consultas.

database_path: "/var/osquery/osquery.db"

Lista de nombres de tablas, separadas por comas, que se desactivarán.

disable_tables: ""

Habilitar salida de depuración o depuración detallada al registrar.

verbose: "true"

Tamaño máximo de lectura de archivo.

read_max: 100000

Número máximo de eventos por tipo a almacenar en búfer.

events_max: 100000

Habilitar el monitor de programación.

enable_monitor: "true"

Host que ejecuta osquery (nombre de host, uuid).

host_identifier: "hostname"

Dependencias

Ninguna.

Ejemplo de Playbook

- hosts: all
  roles:
    - apolloclark.osquery

Licencia

MIT / BSD

Información del Autor

Este rol fue creado en 2017 por Apollo Clark