Configurar logs do Osqueryd para métricas de uso total do SAM

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Por padrão, o Osquery oferece suporte à rotação de log com base no tamanho. Para habilitá-lo para as métricas de uso total do SAM e configurar o tamanho e a rotação do log, você precisa adicionar sinalizadores específicos para o serviço Osqueryd.

    Antes de Iniciar

    Função necessária: admin

    Nota:
    O SAM com Osqueryd consome ciclos de memória e CPU. Por exemplo, com o agente instalado em uma máquina Windows com 2 núcleos de CPU, 8 GB de RAM, 1000 instalações de software e 500 processos em execução, foi observado o seguinte:
    • O uso médio de CPU para o Agent e o Osqueryd foi inferior a 10% da CPU e máximo de 30% da CPU. Isso só ocorrerá quando a política em segundo plano do SAM for acionada. Por padrão, o gatilho acontece a cada 480 segundos.
    • O uso médio de memória do Agent e do Osqueryd foi inferior a 10 MB e o máximo de 26 MB foi consumido.
    Para armazenar os dados de um único processo em execução por dois dias, o tamanho do arquivo de log em média deve ser de 52.429 bytes. O tamanho do arquivo de log deve ser aumentado se o número de processos em execução na máquina for maior. Por exemplo, com 500 processos em execução, o tamanho do log seria em média 25 MB, ou seja, 26214400 bytes.

    Procedimento

    1. Navegar até Pasta de instalação do Osqueryd.
    2. Localize e edite o arquivo osquery.flags.
    3. Adicione os sinalizadores abaixo com estas diretrizes de dimensionamento:
      Nota:
      A modificação do tamanho do arquivo de log deve ser feita de acordo com as diretrizes de dimensionamento de arquivo de log do Osqueryd.
      Para o Windows:
      • --logger_rotate=verdadeiro
      • --logger_rotate_size=26214400
      • --logger_rotate_max_files=1
      • --watchdog_level=1
    4. Salve o arquivo.

    Resultado

    Depois que a programação do Osqueryd e os logs do Osqueryd estiverem configurados, o serviço do Osqueryd poderá ser iniciado.

    A programação executa o Osquery: Select name, pid, elapsed_time, start_time, user_time, system_time, username dos processos p JOIN users u ON u.uid = p.uid em que p.elapsed_time != -1 AND u.type !='special ';" é executado a cada 5 minutos (300 segundos) na máquina de destino. Isso registra os resultados no arquivo de log. O arquivo de log contém entradas de snapshot de todas as consultas configuradas para serem executadas pelo Osqueryd. Esta consulta contém todos os atributos de processos.

    Nota:

    Um arquivo temporário marcador.json é criado em uma pasta local temporária em sua máquina no diretório:

    Para Windows :<userprofile> \\AppData\\Local\\AgentClientCollector\\SAM .

    Este arquivo tem permissões de leitura/gravação e contém os dados do marcador: Data and Last Read Unix Time stamp.

    O Osqueryd também pode ser configurado para gravar seus logs em um caminho de diretório personalizado em vez do diretório padrão. Se você escolher um diretório personalizado, modifique a definição de verificação [samadvanced-background-log-check].