管理集成

Elastic Stack 技术预览 Serverless Security 技术预览

• 您的集群上已启用 Fleet，并且已注册一个或多个 Elastic Agent。
• Osquery Manager 集成已添加并通过 Fleet 为代理策略配置。此集成支持 Windows、MacOS 和 Linux 平台上的 x64 架构以及 Linux 上的 ARM64 架构。

根据您的 订阅级别或 Serverless 项目层，您可以进一步自定义 Osquery Manager 的子功能权限。 这些包括授予运行实时查询、运行已保存查询、保存查询和安排包的特定访问权限的选项。 例如，您可以为只能运行实时或已保存查询但不能保存或安排查询的用户创建角色。 这对于需要深入和详细控制的团队很有用。

默认情况下，所有 Osquery Manager 集成共享相同的 Osquery 配置。但是，您可以自定义 Osquery 的配置方式，方法是编辑要调整的每个代理策略的 Osquery Manager 集成。然后，自定义配置将应用于策略中的所有代理。此强大功能允许您配置 文件完整性监控、进程审计和其他。

1. 使用导航菜单或全局搜索字段转到 Fleet，然后打开 代理策略选项卡。

2. 单击要调整 Osquery 配置的代理策略的名称。您所做的配置更改仅适用于您选择的策略。

3. 单击 Osquery Manager 集成的名称，或者如果代理策略尚未具有该集成，请先添加该集成。

4. 从 编辑 Osquery Manager 集成页面，展开 高级 部分。

5. 编辑 Osquery 配置 JSON 字段以应用您首选的 Osquery 配置。 注意以下几点：

   • 如果您已为此代理策略安排了包，则该字段可能已经有内容。 要保持这些包的计划，请勿删除 packs 部分。 shard 字段值是策略中使用该包的代理的百分比。
   • 有关配置选项，请参阅 Osquery 文档。
   • 某些字段受到保护且无法设置。将显示一个警告，其中包含有关应删除哪些字段的详细信息。
   • （可选）要加载完整的配置文件，请将 Osquery .conf 文件拖放到页面底部的区域中。

6. 单击 保存集成 以将自定义配置应用于策略中的所有代理。

   例如，以下配置禁用了两个表。

   {
      "options": {
         "disable_tables":"file,process_envs"
      }
   }
   

默认情况下，curl 表已禁用。如果愿意，您可以使用高级 Osquery 配置启用它。

为什么 curl 表被禁用？

当您查询 curl 表时，这将导致 HTTP 请求。 查询结果包括对请求的响应。 作为一个简单的示例，如果您运行查询 SELECT * FROM curl WHERE url='https://elastic.ac.cn/';，则 result 字段包含网页内容。

此表可能会在某些环境中使用不当，例如，当用于向 AWS 元数据服务或内部网络上的服务发出 HTTP 请求时。

出于谨慎考虑，我们选择默认禁用对此表的访问。 但是，如果您需要访问该表以用于自己的监视目的，则可以根据需要启用它。

如何启用 curl 表

对于要允许 curl 表查询的每个代理策略，请编辑 Osquery Manager 集成以添加以下高级 Osquery 配置

{
   "options": {
      "enable_tables":"curl"
   }
}

Elastic Agent 上可用的Osquery 版本与 Agent 上的 Osquery Beat 版本相关联。 要获取最新版本的 Osquery Beat，请升级您的 Elastic Agent。

如果遇到 Osquery Manager 的问题，请在代理目录中找到 Elastic Agent 和 Osquerybeat 的相关日志。 请参阅 Fleet 安装布局以查找您的操作系统的日志文件位置。

../data/elastic-agent-*/logs/elastic-agent-json.log-*
../data/elastic-agent-*/logs/default/osquerybeat-json.log

要在日志中获取更多详细信息，请将代理日志记录级别更改为调试

1. 使用导航菜单或全局搜索字段转到 Fleet。

2. 选择要调试的代理。

3. 在 日志 选项卡上，将 代理日志记录级别 更改为 调试，然后单击 应用更改。

   agent.logging.level 在 fleet.yml 中更新，并且日志记录级别更改为 debug。