Rola Ansible: osquery

Rola Ansible do instalacji i konfiguracji osquery dla Ubuntu.

Wymagania

Brak.

Zmienne Roli

Dostępne zmienne są wymienione poniżej, wraz z wartościami domyślnymi (zobacz defaults/main.yml). Możesz nadpisać te wartości, tworząc słownik o nazwie "osquery".

Ustaw nazwę demona osquery.

daemon: "osqueryd"

Ustaw lokalizację katalogu konfiguracyjnego.

config_include_dir: "/etc/osquery"

Skonfiguruj typ pluginu. dokumentacja

config_plugin: "filesystem"

Skonfiguruj plugin loggera. dokumentacja

logger_plugin: "filesystem"

Skonfiguruj katalog loggera.

logger_path: "/var/log/osquery"

Wyłącz logi INFO, WARN i ERROR. To nadal zapisze wyniki.

disable_logging: "false"

Rozłóż zaplanowany interwał dla zapytań.

schedule_splay_percent: 10

Zapisz pid procesu osqueryd do pliku pid/mutex.

pidfile: "/var/osquery/osquery.pidfile"

Usuń zdarzenia z zaplecza osquery po określonej liczbie sekund.

events_expiry: 3600

Ścieżka systemu plików dla danych przechowywanych na dysku, używanych do zdarzeń i wyników zapytań.

database_path: "/var/osquery/osquery.db"

Lista nazw tabel oddzielonych przecinkami, które mają być wyłączone.

disable_tables: ""

Włącz wyjście debugowania lub szczegółowego logowania przy rejestrowaniu.

verbose: "true"

Maksymalny rozmiar odczytu pliku.

read_max: 100000

Maksymalna liczba zdarzeń na typ do buforowania.

events_max: 100000

Włącz monitorowanie harmonogramu.

enable_monitor: "true"

Host uruchamiający osquery (nazwa hosta, uuid).

host_identifier: "hostname"

Zależności

Brak.

Przykładowy Playbook

- hosts: all
  roles:
    - apolloclark.osquery

Licencja

MIT / BSD

Informacje o Autorze

Ta rola została stworzona w 2017 roku przez Apollo Clark