Osqueryd-Protokolle für SAM-Metriken zur Gesamtnutzung konfigurieren

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Standardmäßig unterstützt Osquery die Protokollrotation basierend auf der Größe. Um sie für die SAM-Metriken zur Gesamtnutzung zu aktivieren und die Protokollgröße und -rotation zu konfigurieren, müssen Sie bestimmte Kennzeichnungen für den Osqueryd-Service hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Hinweis:
    SAM mit Osqueryd verbraucht Arbeitsspeicher und CPU-Zyklen. Beispiel: Wenn der Agent auf einem Windows-Computer mit 2 CPU-Kernen, 8 GB RAM, 1.000 Softwareinstallationen und 500 laufenden Prozessen installiert ist, wurde Folgendes beobachtet:
    • Die durchschnittliche CPU-Auslastung für Agent und Osqueryd betrug weniger als 10 % CPU-Auslastung und maximal 30 % CPU-Auslastung. Dies tritt nur auf, wenn die SAM-Hintergrundrichtlinie ausgelöst wird. Standardmäßig erfolgt der Auslöser alle 480 Sekunden.
    • Die durchschnittliche Arbeitsspeichernutzung für Agent und Osqueryd war kleiner als 10 MB und es wurden maximal 26 MB verbraucht.
    Um die Daten für einen einzelnen laufenden Prozess für zwei Tage zu speichern, sollte die Protokolldateigröße im Durchschnitt 52.429 Byte betragen. Die Protokolldateigröße muss erhöht werden, wenn die Anzahl der laufenden Prozesse auf dem Computer höher ist. Bei 500 laufenden Prozessen würde die Protokollgröße beispielsweise durchschnittlich 25 MB betragen, was 26.214.400 Byte entspricht.

    Prozedur

    1. Navigieren zu Osqueryd-Installationsordneran.
    2. Suchen Sie nach der Datei osquery.flags und bearbeiten Sie sie.
    3. Fügen Sie die folgenden Kennzeichnungen mit diesen Größenrichtlinien hinzu:
      Hinweis:
      Die Änderung der Protokolldateigröße sollte gemäß den Richtlinien für die Osqueryd-Protokolldateigröße erfolgen.
      Für Windows:
      • --Logger_Rotation=wahr
      • --Logger_Rotation_size=26214400
      • --Logger_Rotation_max_files=1
      • --Watchdog_level=1
    4. Speichern Sie die Datei.

    Ergebnisse

    Sobald der Osqueryd-Zeitplan und die Osqueryd-Protokolle konfiguriert sind, kann der Osqueryd-Service gestartet werden.

    Der Zeitplan führt die Osquery aus: Name, PID, verstrichene Zeit, Start_time, user_time, System_time, Anwendername aus Prozessen p JOIN-Anwender u AUF u.uid = p.uid, wobei p.elapsed_time != -1 UND u.type !='special';" alle 5 Minuten (300 Sekunden) auf dem Zielcomputer ausgeführt wird. Dadurch werden die Ergebnisse in der Protokolldatei protokolliert. Die Protokolldatei enthält Snapshot-Einträge aller Abfragen, die für die Ausführung durch Osqueryd konfiguriert sind. Diese Abfrage enthält alle Prozessattribute.

    Hinweis:

    Eine temporäre Datei Marker.JSON Wird in einem temporären lokalen Ordner auf Ihrem Computer im folgenden Verzeichnis erstellt:

    Für Windows : <userprofile>\\AppData\\local\\AgentClientCollector\\SAM .

    Diese Datei verfügt über Lese-/Schreibberechtigungen und enthält die Markerdaten: Data and Last Read Unix Time stamp.

    Osqueryd kann auch so konfiguriert werden, dass die zugehörigen Protokolle in einen benutzerdefinierten Verzeichnispfad anstatt in das Standardverzeichnis geschrieben werden. Wenn Sie ein benutzerdefiniertes Verzeichnis auswählen, ändern Sie die Prüfungsdefinition [samadvanced-background-log-check].