apolloclark.osquery

概述 版本 洞察

Ansible 角色: osquery

用于在 Ubuntu 上安装和配置 osquery 的 Ansible 角色。

要求

无。

角色变量

可用变量如下所列,并附有默认值(请参见 defaults/main.yml)。您可以通过创建一个名为 "osquery" 的字典来覆盖这些值。

设置 osquery 守护进程名称。

daemon: "osqueryd"

设置配置目录的位置。

config_include_dir: "/etc/osquery"

配置插件类型。文档

config_plugin: "filesystem"

配置日志插件。文档

logger_plugin: "filesystem"

配置日志目录。

logger_path: "/var/log/osquery"

禁用 INFO、WARN 和 ERROR 日志。这仍然会写入结果。

disable_logging: "false"

为查询设定调度间隔的分散。

schedule_splay_percent: 10

将 osqueryd 进程的 pid 写入 pidfile/mutex。

pidfile: "/var/osquery/osquery.pidfile"

在经过一定秒数后清除 osquery 后备存储的事件。

events_expiry: 3600

用于事件和查询结果的基于磁盘的后备存储的文件系统路径。

database_path: "/var/osquery/osquery.db"

以逗号分隔的要禁用的表名列表。

disable_tables: ""

在日志记录时启用调试或详细调试输出。

verbose: "true"

最大文件读取大小。

read_max: 100000

每种类型的最大事件缓存数量。

events_max: 100000

启用调度监控。

enable_monitor: "true"

运行 osquery 的主机(主机名、UUID)。

host_identifier: "hostname"

依赖关系

无。

示例剧本

- hosts: all
  roles:
    - apolloclark.osquery

许可证

MIT / BSD

作者信息

此角色由 Apollo Clark 于 2017 年创建。

关于项目

Install and configure osquery

role devopssec facebook logging metrics monitoring osquery security
安装
ansible-galaxy install apolloclark.osquery
GitHub 仓库
10 星标
8 分叉
2 未解决问题
许可证
Unknown
下载
2.1k
拥有者
Apollo Clark
The Winston Wolf of DevSecOps. I solve problems.