SAM 총 사용 메트릭에 대한 Osqueryd 로그 구성
기본적으로 Osquery는 크기에 따라 로그 회전을 지원합니다. SAM 총 사용 메트릭에 사용하도록 설정하고 로그 크기 및 회전을 구성하려면 Osqueryd 서비스에 대한 특정 플래그를 추가해야 합니다.
시작하기 전에
필요한 역할: admin
- 에이전트 및 Osqueryd의 평균 CPU 사용량은 10% 미만이고 최대 30%였습니다. 이는 SAM 백그라운드 정책이 트리거될 때만 발생합니다. 기본적으로 트리거는 480초마다 발생합니다.
- 에이전트 및 Osqueryd의 평균 메모리 사용량은 10MB 미만이고 최대 26MB가 사용되었습니다.
프로시저
결과
Osqueryd 일정과 Osqueryd 로그가 구성되면 Osqueryd 서비스가 시작될 수 있습니다.
일정에서 Osquery(Select name, pid, elapsed_time, start_time, user_time, system_time, username from processes p JOIN users u ON u.uid = p.uid where p.elapsed_time != -1 AND u.type !='special';")를 실행합니다. 대상 머신에서 5분(300초)마다 실행됩니다. 그러면 로그 파일에 결과가 로깅됩니다. 로그 파일에는 Osqueryd로 실행하도록 구성된 모든 쿼리의 스냅샷 항목이 포함되어 있습니다. 이 쿼리에는 모든 프로세스 속성이 포함됩니다.
임시 파일 marker.json이 머신의 임시 로컬 폴더 디렉터리에 생성됩니다.
Windows 용: <userprofile>\\AppData\\Local\\AgentClientCollector\\SAM
macOS용: /var/log/servicenow/agent-client-collector
이 파일에는 읽기/쓰기 권한이 있으며 마커 데이터(데이터 및 마지막 읽기 Unix 타임 스탬프)가 포함되어 있습니다.
기본 디렉터리 대신 사용자 지정 디렉터리 경로에 로그를 쓰도록 Osqueryd를 구성할 수도 있습니다. 사용자 지정 디렉터리를 선택하는 경우 검사 정의 [samadvanced-background-log-check]를 수정합니다.