osquery
Ansible Роль: osquery
Ansible роль для установки и настройки osquery для Ubuntu.
Требования
Отсутствуют.
Переменные Роли
Доступные переменные перечислены ниже с значениями по умолчанию (см. defaults/main.yml
).
Вы можете переопределить эти значения, создав словарь с именем "osquery".
Установите имя демона osquery.
daemon: "osqueryd"
Установите расположение директории конфигурации.
config_include_dir: "/etc/osquery"
Настройте тип плагина. документация
config_plugin: "filesystem"
Настройте плагин логирования. документация
logger_plugin: "filesystem"
Настройте директорию для логов.
logger_path: "/var/log/osquery"
Отключите логи INFO, WARN и ERROR. Результаты все равно будут записываться.
disable_logging: "false"
Случайный интервал для запланированных запросов.
schedule_splay_percent: 10
Запишите pid процесса osqueryd в pidfile/mutex.
pidfile: "/var/osquery/osquery.pidfile"
Очистите события из хранилища osquery через определенное количество секунд.
events_expiry: 3600
Путь к файловой системе для дискового хранилища, используемого для событий и результатов запросов.
database_path: "/var/osquery/osquery.db"
Список имен таблиц для отключения, разделенный запятыми.
disable_tables: ""
Включите вывод отладочной или подробной отладки при логировании.
verbose: "true"
Максимальный размер файла для чтения.
read_max: 100000
Максимальное количество событий на тип для буферизации.
events_max: 100000
Включите мониторинг расписания.
enable_monitor: "true"
Хост, на котором работает osquery (имя хоста, uuid).
host_identifier: "hostname"
Зависимости
Отсутствуют.
Пример Playbook
- hosts: all
roles:
- apolloclark.osquery
Лицензия
MIT / BSD
Информация об Авторе
Эта роль была создана в 2017 году Apollo Clark
Install and configure osquery
ansible-galaxy install apolloclark/ansible-role-osquery