« Osquery 导出字段参考 »
Elastic 文档 Kibana 指南 [8.14] Osquery

管理集成

编辑

管理集成编辑

系统要求编辑

  • 您的集群上已启用 Fleet,并且已注册一个或多个 Elastic Agent
  • 已添加 Osquery Manager 集成,并已通过 Fleet 为代理策略配置了该集成。此集成支持 Windows、MacOS 和 Linux 平台上的 x64 架构,以及 Linux 上的 ARM64 架构。
  • 原始的 Filebeat Osquery 模块Osquery 集成从自管 Osquery 部署收集日志。Osquery Manager 集成管理 Osquery 部署,并支持从 Kibana 运行和安排查询。
  • Osquery Manager 无法与独立模式下的 Elastic Agent 集成。

自定义 Osquery 子功能权限编辑

根据您的 订阅级别,您可以进一步自定义 Osquery Manager 的子功能权限。这些选项包括授予对运行实时查询、运行已保存查询、保存查询和安排包的特定访问权限。例如,您可以为只能运行实时查询或已保存查询但不能保存或安排查询的用户创建角色。这对于需要深入且详细控制的团队非常有用。

自定义 Osquery 配置编辑

[预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。 默认情况下,所有 Osquery Manager 集成共享相同的 osquery 配置。但是,您可以通过编辑要调整的每个代理策略的 Osquery Manager 集成来自定义 Osquery 的配置方式。然后,自定义配置将应用于策略中的所有代理。此强大功能允许您配置 文件完整性监控进程审计其他

  • 编辑此配置时请务必小心。您所做的更改将分发到策略中的所有代理。
  • 使用高级 Osquery 配置 字段编辑 packs 时请务必小心。您从此字段对 packs 所做的任何更改都不会反映在 Kibana 中 Osquery 页面上的 UI 中,但是,这些更改将部署到策略中的代理。虽然这允许您使用高级 Osquery 功能(如包发现查询),但您确实失去了从 Osquery 页面管理以此方式定义的包的能力。
  1. 在 Kibana 主菜单中,单击 Fleet,然后单击 代理策略 选项卡。
  2. 单击要调整 Osquery 配置的代理策略的名称。您所做的配置更改仅应用于您选择的策略。
  3. 单击 Osquery Manager 集成的名称,如果代理策略尚无该集成,请先添加该集成。
  4. 编辑 Osquery Manager 集成 页面中,展开 高级 部分。

  5. 编辑 Osquery 配置 JSON 字段以应用您首选的 Osquery 配置。请注意以下几点

    • 如果您已为此代理策略安排了包,则该字段可能已有内容。要保持这些包的安排,请勿删除 packs 部分。shard 字段值是使用该包的策略中代理的百分比。
    • 有关配置选项,请参阅 Osquery 文档
    • 某些字段受保护,无法设置。将显示一条警告,其中包含有关应删除哪些字段的详细信息。
    • (可选)要加载完整的配置文件,请将 Osquery .conf 文件拖放到页面底部区域。

  6. 单击 保存集成 以将自定义配置应用于策略中的所有代理。

    例如,以下配置禁用了两个表。

    {
   "options": {
      "disable_tables":"file,process_envs"
   }
}

启用 curl编辑

默认情况下,curl 表 被禁用。如果需要,您可以使用高级 Osquery 配置 启用它。

为什么 curl 表被禁用?

当您查询 curl 表 时,这将导致 HTTP 请求。查询结果包括对请求的响应。举一个简单的例子,如果您运行查询 SELECT * FROM curl WHERE url='https://elastic.ac.cn/';,则 result 字段包含网页内容。

此表在某些环境中可能会被滥用,例如,用于向 AWS 元数据服务或内部网络上的服务发出 HTTP 请求时。

出于谨慎考虑,我们选择默认禁用对此表的访问。但是,如果您出于自己的监控目的需要访问该表,则可以根据需要启用它。

如何启用 curl

对于要允许 curl 表查询的每个代理策略,请编辑 Osquery Manager 集成以添加以下高级 Osquery 配置

{
   "options": {
      "enable_tables":"curl"
   }
}

升级 Osquery 版本编辑

Elastic Agent 上可用的 Osquery 版本 与代理上 Osquery Beat 的版本相关联。要获取最新版本的 Osquery Beat,请 升级您的 Elastic Agent

调试问题编辑

如果在使用 Osquery Manager 时遇到问题,请在代理目录中查找 Elastic Agent 和 Osquerybeat 的相关日志。请参阅 Fleet 安装布局 以查找适用于您的操作系统的日志文件位置。

../data/elastic-agent-*/logs/elastic-agent-json.log-*
../data/elastic-agent-*/logs/default/osquerybeat-json.log

要在日志中获取更多详细信息,请将代理日志记录级别更改为调试

  1. 打开主菜单,然后选择 Fleet
  2. 选择要调试的代理。

  3. 日志 选项卡上,将 代理日志记录级别 更改为 调试,然后单击 应用更改

    agent.logging.levelfleet.yml 中更新,日志记录级别更改为 debug

« Osquery 导出字段参考 »