Question

Можно ли разбить журнал результатов на osquery? В настоящее время каждый запрос объединяется в osqueryd.results.log, но я бы хотел разбить ведение журнала на основе запланированных событий. Как мне этого добиться?

Пример:

 {
  "options": {
    "config_plugin": "filesystem",
    "logger_plugin": "filesystem",
    "host_identifier": "hostname",
    "utc": "true"
  },
  "schedule": {
    "crontab": {
      "query": "SELECT * FROM crontab;",
      "interval": 100000,
      +"logger_path": "/var/log/osquery/crontab.log"

    },
    "file_events": {
      "query": "SELECT * FROM file_events;",
      "removed": false,
      "interval": 10,
      +"logger_path": "/var/log/osquery/file_events.log"
    }
  },
  "file_paths": {
    "homes": [
      "/home/%/.ssh/%%"
    ],
    "etc": [
      "/etc/%%"
    ]
  },
  "exclude_paths": {
    "resolv.conf.*": [
      "/etc/resolv.conf.%"
    ]
  },
  "decorators": {
    "load": [
      "SELECT uuid AS host_uuid FROM system_info;",
      "SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;"
    ]
  }
}

Zach · Answer 1 · 21 февраля 2020

Эта функция не существует в osquery.

У вас есть несколько вариантов:

1) Поступают ли журналы в конвейер журналирования? Вы можете разделить их внутри этого конвейера.

2) Откройте запрос функции с проектом osquery. Нет гарантий того, что будет реализовано, но это хороший способ начать обсуждение.

Как разделить журналы на основе запланированных событий в файле osquery.conf?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как разделить журналы на основе запланированных событий в файле osquery.conf?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы