Configurer les journaux Osqueryd pour les mesures d’utilisation totale SAM

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Par défaut, Osquery prend en charge la rotation des journaux en fonction de la taille. Pour l’activer pour les mesures d’utilisation totale SAM et pour configurer la taille et la rotation du journal, vous devez ajouter des marqueurs spécifiques pour le service Osqueryd.

    Avant de commencer

    Rôle requis : admin

    Remarque :
    SAM avec Osqueryd consomme de la mémoire et des cycles de processeur. Par exemple, avec l’Agent installé sur un ordinateur disposant de 2 cœurs de processeur, 8 Go de RAM, 1 000 installations logicielles et 500 processus en cours d’exécution Windows , les éléments suivants ont été observés :
    • L’utilisation moyenne du processeur pour l’agent et Osqueryd était inférieure à 10 % du processeur et au maximum de 30 % du processeur. Cela se produit uniquement lorsque la politique d’arrière-plan SAM est déclenchée. Par défaut, le déclenchement se produit toutes les 480 secondes.
    • L’utilisation moyenne de la mémoire pour l’agent et Osqueryd était inférieure à 10 Mo et un maximum de 26 Mo a été consommé.
    Pour stocker les données d’un seul processus en cours d’exécution pendant deux jours, la taille moyenne du fichier journal doit être de 52 429 octets. La taille du fichier journal doit être augmentée si le nombre de processus en cours d’exécution sur la machine est élevé. Par exemple, avec 500 processus en cours d’exécution, la taille du journal serait en moyenne de 25 Mo, soit 26214400 octets.

    Procédure

    1. Accédez à la Dossier d’installation Osqueryd.
    2. Recherchez et modifiez le fichier osquery.flags.
    3. Ajoutez les marqueurs ci-dessous avec ces directives de dimensionnement :
      Remarque :
      La modification de la taille du fichier journal doit être effectuée conformément aux instructions de dimensionnement des fichiers journaux Osqueryd.
      Pour Windows :
      • --logger_rotate=vrai
      • --logger_rotate_size=26214400
      • --logger_rotate_max_files=1
      • --watchdog_level=1
      Pour MacOS :
      • --logger_rotate=vrai
      • --logger_rotate_size=26214400
      • --logger_rotate_max_files=1
      • --watchdog_level=1
      • --logger_mode=0644
    4. Enregistrez le fichier.

    Résultats

    Une fois que le calendrier Osqueryd et les journaux Osqueryd sont configurés, le service Osqueryd peut démarrer.

    Le calendrier exécute l’Osquery : Sélectionner nom, pid, elapsed_time, start_time, user_time, system_time, nom d’utilisateur à partir des processus p JOIN utilisateurs u ON u.uid = p.uid où p.elapsed_time != -1 ET u.type !='spécial' ; » s’exécute toutes les 5 minutes (300 secondes) sur l’ordinateur cible. Les résultats sont alors consignés dans le fichier journal. Le fichier journal contient des entrées instantanées de toutes les requêtes configurées pour être exécutées par l’Osqueryd. Cette requête contient tous les attributs du processus.

    Remarque :

    Un fichier temporaire marker.json est créé dans un dossier local temporaire sur votre machine dans le répertoire :

    Pour Windows : <userprofile>\\AppData\\Local\\AgentClientCollector\\SAM.

    Pour MacOS: /bibliothèque/application\ support/servicenow/agent-client-collector.

    Ce fichier a des autorisations de lecture/écriture et contient les données de marqueur : Data and Last Read Unix Time stamp.

    L’Osqueryd peut également être configuré pour écrire ses journaux dans un chemin d’accès de répertoire personnalisé au lieu du répertoire par défaut. Si vous choisissez un répertoire personnalisé, modifiez la définition de vérification [samadvanced-background-log-check].