Configure logs do Osqueryd para métricas de uso total do SAM

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Por padrão, o Osquery oferece suporte à rotação de log com base no tamanho. Para habilitá-lo para métricas de uso total do SAM e configurar o tamanho e a rotação do log, você precisa adicionar sinalizadores específicos para o serviço Osqueryd.

    Antes de Iniciar

    Função necessária: administrador

    Nota:
    O SAM com Osqueryd consome memória e ciclos de CPU. Por exemplo, com o Agente instalado em um Windows Máquina com 2 núcleos de CPU, 8 GB de RAM, 1000 instalações de software e 500 processos em execução, foi observado o seguinte:
    • O uso médio de CPU para o Agente e o Osqueryd foi inferior a 10% de CPU e máximo de 30% de CPU. Isso só ocorrerá quando a política de segundo plano do SAM for acionada. Por padrão, o gatilho acontece a cada 480 segundos.
    • O uso médio de memória do agente e do Osqueryd foi inferior a 10 MB e o máximo de 26 MB foi consumido.
    Para armazenar os dados de um único processo em execução por dois dias, o tamanho do arquivo de log em média deve ser de 52429 bytes. O tamanho do arquivo de log deve ser aumentado se o número de processos em execução na máquina for maior. Por exemplo, com 500 processos em execução, o tamanho do log seria, em média, 25 MB, o que é 26214400 bytes.

    Procedimento

    1. Navegar até Pasta de instalação do Osqueryd.
    2. Localize e edite o arquivo osquery.flags.
    3. Adicione os sinalizadores abaixo com estas diretrizes de dimensionamento:
      Nota:
      A modificação do tamanho do arquivo de log deve ser feita de acordo com as diretrizes de dimensionamento do arquivo de log do Osqueryd.
      Para o Windows:
      • --logger_rotate
      • --logger_rotate_size: 26214400
      • --logger_rotate_max_files: 1
      • --watchdog_level: 1
    4. Salve o arquivo.

    Resultado

    Depois que a programação do Osqueryd e os logs do Osqueryd estiverem configurados, o serviço Osqueryd poderá ser iniciado.

    A programação executa o Osquery: Selecione name, pid, elapsed_time, start_time, user_time, System_time, username dos processos p UNE usuários u EM u.uid, onde p.elapsed_time !: -1 E u.type !: "especial";" é executado a cada 5 minutos (300 segundos) na máquina de destino. Os resultados serão registrados no arquivo de log. O arquivo de log contém entradas de snapshot de todas as consultas configuradas para execução pelo Osqueryd . Esta consulta contém todos os atributos de processos.

    Nota:

    Um arquivo temporário marker.json é criado em uma pasta local temporária em sua máquina no diretório:

    Para Windows : <userprofile> "AppData" Local "AgentClientCollector" SAM .

    Este arquivo tem permissões de leitura/gravação e contém os dados do marcador: Data and Last Read Unix Time stamp.

    O Osqueryd também pode ser configurado para gravar seus logs em um caminho de diretório personalizado em vez do diretório padrão. Se você escolher um diretório personalizado, modifique a definição de verificação [samadvanced-background-log-check].