Configurer les journaux Osqueryd pour les mesures d'utilisation totale de SAM

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Par défaut, Osquery prend en charge la rotation des journaux en fonction de la taille. Pour l'activer pour les mesures d'utilisation totale de SAM et pour configurer la taille et la rotation des journaux, vous devez ajouter des marqueurs spécifiques pour le service Osqueryd.

    Avant de commencer

    Rôle requis : admin

    Remarque :
    SAM avec Osqueryd consomme de la mémoire et des cycles de processeur. Par exemple, lorsque l'agent est installé sur un ordinateur Windows équipé de 2 cœurs de processeur et de 8 Go de mémoire RAM, et disposant de 1 000 installations logicielles et de 500 processus en cours d'exécution, les points suivants ont été observés :
    • L'utilisation moyenne du processeur pour l'agent et Osqueryd était inférieure à 10 % du processeur (avec un maximum de 30 % du processeur). Cela se produit uniquement lorsque la politique d’arrière-plan SAM est déclenchée. Par défaut, le déclenchement se produit toutes les 480 secondes.
    • L'utilisation moyenne de la mémoire pour l'agent et Osqueryd était inférieure à 10 Mo (avec une consommation maximale de 26 Mo).
    Pour stocker les données d'un seul processus en cours d'exécution pendant deux jours, la taille du fichier journal doit être en moyenne de 52 429 octets. La taille du fichier journal doit être augmentée si le nombre de processus en cours d'exécution sur l'ordinateur est plus élevé. Par exemple, avec 500 processus en cours d'exécution, la taille du journal serait en moyenne de 25 Mo, soit 26 214 400 octets.

    Procédure

    1. Accédez à la Dossier d’installation Osqueryd.
    2. Recherchez et modifiez le fichier osquery.flags.
    3. Ajoutez les marqueurs ci-dessous avec ces instructions de dimensionnement :
      Remarque :
      la modification de la taille du fichier journal doit être effectuée conformément aux directives de dimensionnement du fichier journal Osqueryd.
      Pour Windows :
      • --logger_rotate=vrai
      • --logger_rotate_size=26214400
      • --logger_rotate_max_files=1
      • --watchdog_level=1
    4. Enregistrez le fichier.

    Résultats

    Une fois le calendrier Osqueryd et les journaux Osqueryd configurés, le service Osqueryd peut démarrer.

    Le calendrier exécute Osquery : sélectionner nom, pid, elapsed_time, start_time, user_time, system_time, nom d’utilisateur à partir des processus p JOIN users u ON u.uid = p.uid where p.elapsed_time != -1 AND u.type !='special' ; " s’exécute toutes les 5 minutes (300 secondes) sur la machine cible. Les résultats sont alors consignés dans le fichier journal. Ce fichier journal contient des entrées d'instantané de toutes les requêtes configurées pour être exécutées par Osqueryd. Cette requête contient tous les attributs de processus.

    Remarque :

    Un fichier temporaire marker.json est créé dans un dossier local temporaire sur votre ordinateur dans le répertoire :

    Pour Windows : <userprofile>\\AppData\\Local\\AgentClientCollector\\SAM.

    Ce fichier a des autorisations de lecture/écriture et contient les données du marqueur : Data and Last Read Unix Time stamp.

    Il est également possible de configurer Osqueryd pour écrire ses journaux dans un répertoire personnalisé plutôt que dans le répertoire par défaut. Si vous choisissez un répertoire personnalisé, modifiez la définition de vérification [samadvanced-background-log-check].