Konfigurieren Sie Osqueryd-Protokolle für Metriken zur Gesamtnutzung von SAM

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 1 Minute Lesedauer

    • Standardmäßig unterstützt Osquery die Protokollrotation basierend auf der Größe. Um es für die Gesamtnutzungsmetriken von SAM zu aktivieren und die Protokollgröße und -Rotation zu konfigurieren, müssen Sie bestimmte Kennzeichnungen für den Osqueryd-Service hinzufügen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Hinweis:
    SAM mit Osqueryd verbraucht Arbeitsspeicher und CPU-Zyklen. Beispiel: Wenn der Service Desk-Mitarbeiter auf einem installiert ist Windows Computer mit 2 CPU-Kernen, 8 GB RAM, 1000 Softwareinstallationen und 500 laufenden Prozessen wurde Folgendes beobachtet:
    • Die durchschnittliche CPU-Auslastung für den Service Desk-Mitarbeiter und Osqueryd war kleiner als die 10 %-CPU und maximal 30 %-CPU. Dies tritt nur auf, wenn die SAM-Hintergrundrichtlinie ausgelöst wird. Standardmäßig erfolgt der Auslöser alle 480 Sekunden.
    • Die durchschnittliche Arbeitsspeichernutzung für Service Desk-Mitarbeiter und Osqueryd betrug weniger als 10 MB, und maximal 26 MB wurden verbraucht.
    Um die Daten für einen einzelnen laufenden Prozess zwei Tage lang zu speichern, sollte die Protokolldateigröße durchschnittlich 52429 Byte betragen. Die Größe der Protokolldatei muss erhöht werden, wenn die Anzahl der laufenden Prozesse auf dem Computer höher ist. Beispiel: Bei 500 laufenden Prozessen würde die Protokollgröße durchschnittlich 25 MB betragen, was 26214400 Byte entspricht.

    Prozedur

    1. Navigieren zu Osqueryd-Installationsordneran.
    2. Suchen und bearbeiten Sie die Datei „osquery.Flags“.
    3. Fügen Sie die folgenden Kennzeichnungen mit diesen Größenanpassungsrichtlinien hinzu:
      Hinweis:
      Die Größe der Protokolldatei muss gemäß den Richtlinien für die Größenanpassung der Osqueryd-Protokolldatei geändert werden.
      Für Windows:
      • --Logger_Rotation=wahr
      • --Logger_Rotation_size=26214400
      • --logger_rotate_max_files=1
      • --Watchdog_level=1
      Für macOS:
      • --Logger_Rotation=wahr
      • --Logger_Rotation_size=26214400
      • --logger_rotate_max_files=1
      • --Watchdog_level=1
      • --Logger_Mode=0644
    4. Speichern Sie die Datei.

    Ergebnisse

    Sobald der Osqueryd-Zeitplan und die Osqueryd-Protokolle konfiguriert sind, kann der Osqueryd-Service gestartet werden.

    Der Zeitplan führt die Osquery aus: Name, PID, verstrichene Zeit, Startzeit, Anwender_Zeit, System_time, Anwendername aus Prozessen p JOIN Anwender u AUF u.uid = p.uid, wobei p.elapsed_time != -1 UND u.type !='special';" alle 5 Minuten (300 Sekunden) auf dem Zielcomputer ausgeführt werden. Dadurch werden die Ergebnisse in der Protokolldatei protokolliert. Die Protokolldatei enthält Snapshot-Einträge aller Abfragen, die für die Ausführung von Osqueryd konfiguriert sind. Diese Abfrage enthält alle Prozessattribute.

    Hinweis:

    Eine temporäre Datei Marker.JSON Wird in einem temporären lokalen Ordner auf Ihrem Computer im folgenden Verzeichnis erstellt:

    Für Windows : <userprofile>\\AppData\\local\\AgentClientCollector\\SAM .

    Für macOS: /Bibliothek/Anwendung\ Support/servicenow/Agent-Client-Collector .

    Diese Datei verfügt über Lese-/Schreibberechtigungen und enthält die Markerdaten: Data and Last Read Unix Time stamp.

    Die Osqueryd kann auch so konfiguriert werden, dass ihre Protokolle in einen anwenderdefinierten Verzeichnispfad anstelle des Standardverzeichnisses geschrieben werden. Wenn Sie ein anwenderdefiniertes Verzeichnis auswählen, ändern Sie die Prüfungsdefinition [samAdvanced-background-log-Check].