Rôle Ansible : osquery

Rôle Ansible pour installer et configurer osquery sur Ubuntu.

Exigences

Aucune.

Variables du Rôle

Les variables disponibles sont listées ci-dessous, avec leurs valeurs par défaut (voir defaults/main.yml). Vous pouvez surcharger ces valeurs en créant un dictionnaire appelé "osquery".

Définir le nom du daemon osquery.

daemon: "osqueryd"

Définir l'emplacement du répertoire de configuration.

config_include_dir: "/etc/osquery"

Configurer le type de plugin. doc

config_plugin: "filesystem"

Configurer le plugin de journalisation. doc

logger_plugin: "filesystem"

Configurer le répertoire de journalisation.

logger_path: "/var/log/osquery"

Désactiver les journaux INFO, WARN et ERROR. Cela écrira toujours des résultats.

disable_logging: "false"

Espace aléatoire pour l'intervalle de requêtes planifiées.

schedule_splay_percent: 10

Écrire le pid du processus osqueryd dans un fichier pid/mutex.

pidfile: "/var/osquery/osquery.pidfile"

Effacer les événements du stockage de fond d'osquery après un certain nombre de secondes.

events_expiry: 3600

Un chemin de système de fichiers pour un stockage temporaire basé sur le disque utilisé pour les événements et les résultats de requêtes.

database_path: "/var/osquery/osquery.db"

Liste de noms de tables à désactiver, séparés par des virgules.

disable_tables: ""

Activer le mode débogage ou le débogage détaillé lors de la journalisation.

verbose "true"

Taille maximale de lecture de fichier.

read_max: 100000

Nombre maximal d'événements par type à mettre en mémoire tampon.

events_max: 100000

Activer le moniteur de planification.

enable_monitor: "true"

Hôte exécutant osquery (nom d'hôte, uuid).

host_identifier: "hostname"

Dépendances

Aucune.

Exemple de Playbook

- hosts: all
  roles:
    - apolloclark.osquery

Licence

MIT / BSD

Informations sur l'Auteur

Ce rôle a été créé en 2017 par Apollo Clark