Ansible ロール: osquery

Ubuntu の osquery をインストールし、設定するための Ansible ロールです。

要件

特になし。

ロール変数

使用可能な変数は以下に示されており、デフォルト値も記載されています（defaults/main.yml を参照）。これらの値は「osquery」という辞書を作成することで上書きできます。

osquery デーモンの名前を設定します。

daemon: "osqueryd"

設定ディレクトリの場所を設定します。

config_include_dir: "/etc/osquery"

プラグインタイプを設定します。doc

config_plugin: "filesystem"

ロガープラグインを設定します。doc

logger_plugin: "filesystem"

ロガーのディレクトリを設定します。

logger_path: "/var/log/osquery"

INFO、WARN、および ERROR ログを無効にします。結果はまだ書き込まれます。

disable_logging: "false"

クエリの予定された間隔をスプレイします。

schedule_splay_percent: 10

osqueryd プロセスの pid を pidfile/mutex に書き込みます。

pidfile: "/var/osquery/osquery.pidfile"

一定の秒数後に osquery バックストアからイベントをクリアします。

events_expiry: 3600

イベントおよびクエリ結果に使用されるディスクベースのバックストレージのファイルシステムパス。

database_path: "/var/osquery/osquery.db"

無効にするテーブル名のカンマ区切りリスト。

disable_tables: ""

ログ記録時にデバッグまたは詳細デバッグ出力を有効にします。

verbose: "true"

最大ファイル読み取りサイズ。

read_max: 100000

タイプごとにバッファリングする最大イベント数。

events_max: 100000

スケジュールモニターを有効にします。

enable_monitor: "true"

osquery を実行しているホスト（ホスト名、UUID）。

host_identifier: "hostname"

依存関係

特になし。

例プレイブック

- hosts: all
  roles:
    - apolloclark.osquery

ライセンス

MIT / BSD

著者情報

このロールは 2017 年に Apollo Clark によって作成されました。