« Osquery 导出字段参考 »
Elastic 文档 Kibana 指南 [8.17] Osquery

管理集成

编辑

管理集成

编辑

系统要求

编辑
  • Fleet 已在您的集群上启用,并且一个或多个 Elastic Agent 已注册。
  • Osquery Manager 集成已通过 Fleet 添加并为代理策略配置。此集成支持 Windows、MacOS 和 Linux 平台上的 x64 架构,以及 Linux 上的 ARM64 架构。
  • 原始的 Filebeat Osquery 模块Osquery 集成从自管理的 Osquery 部署中收集日志。Osquery Manager 集成管理 Osquery 部署,并支持从 Kibana 运行和调度查询。
  • Osquery Manager 不能与独立模式下的 Elastic Agent 集成。

自定义 Osquery 子功能权限

编辑

根据您的订阅级别,您可以进一步自定义 Osquery Manager 的子功能权限。这包括授予运行实时查询、运行已保存查询、保存查询和调度包的特定访问权限的选项。例如,您可以为只能运行实时或已保存查询,但不能保存或调度查询的用户创建角色。这对于需要深入和详细控制的团队非常有用。

自定义 Osquery 配置

编辑

[预览] 此功能为技术预览版,可能会在未来的版本中更改或删除。Elastic 将努力修复任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。 默认情况下,所有 Osquery Manager 集成共享相同的 osquery 配置。但是,您可以通过编辑要调整的每个代理策略的 Osquery Manager 集成来自定义 Osquery 的配置方式。然后,自定义配置将应用于策略中的所有代理。此强大功能允许您配置 文件完整性监控进程审计其他

  • 编辑此配置时请小心。您所做的更改会分发到策略中的所有代理。
  • 使用高级Osquery 配置字段编辑packs时请小心。您从此字段对packs所做的任何更改都不会反映在 Kibana 中 Osquery Packs 页面的 UI 上,但是,这些更改会部署到策略中的代理。虽然这允许您使用高级 Osquery 功能(如包发现查询),但您失去了从 Osquery Packs 页面管理以此方式定义的包的能力。
  1. 使用导航菜单或全局搜索字段转到Fleet,然后打开代理策略选项卡。
  2. 单击要调整 Osquery 配置的代理策略的名称。您所做的配置更改仅适用于您选择的策略。
  3. 单击Osquery Manager集成的名称,或者如果代理策略尚未具有该集成,请先添加该集成。
  4. 编辑 Osquery Manager 集成页面中,展开高级部分。

  5. 编辑Osquery 配置 JSON 字段以应用您首选的 Osquery 配置。请注意以下事项

    • 如果您已为此代理策略调度了包,则该字段可能已经有内容。要保持这些包的调度,请不要删除packs部分。shard字段值是策略中使用该包的代理的百分比。
    • 有关配置选项,请参阅Osquery 文档
    • 某些字段受到保护,无法设置。将显示警告,其中包含有关应删除哪些字段的详细信息。
    • (可选)要加载完整的配置文件,请将 Osquery .conf 文件拖放到页面底部的区域。

  6. 单击保存集成以将自定义配置应用于策略中的所有代理。

    例如,以下配置禁用两个表。

    {
   "options": {
      "disable_tables":"file,process_envs"
   }
}

启用curl

编辑

默认情况下,curl 表已禁用。如果需要,您可以使用高级Osquery 配置启用它。

为什么curl表被禁用?

当您查询curl 表时,这将导致 HTTP 请求。查询结果包括对请求的响应。作为一个简单的示例,如果您运行查询SELECT * FROM curl WHERE url='https://elastic.ac.cn/';,则result字段包含网页内容。

此表在某些环境中可能会被滥用,例如,当用于向 AWS 元数据服务或内部网络上的服务发出 HTTP 请求时。

出于谨慎考虑,我们选择默认禁用对此表的访问。但是,如果您需要访问该表以进行自己的监控,您可以根据需要启用它。

如何启用curl

对于要允许curl表查询的每个代理策略,请编辑 Osquery Manager 集成以添加以下高级Osquery 配置

{
   "options": {
      "enable_tables":"curl"
   }
}

升级 Osquery 版本

编辑

Elastic Agent 上可用的Osquery 版本与 Agent 上 Osquery Beat 的版本相关联。要获取最新版本的 Osquery Beat,请升级您的 Elastic Agent

调试问题

编辑

如果您遇到Osquery Manager的问题,请在代理目录中查找 Elastic Agent 和 Osquerybeat 的相关日志。请参阅Fleet 安装布局以查找您的操作系统的日志文件位置。

../data/elastic-agent-*/logs/elastic-agent-json.log-*
../data/elastic-agent-*/logs/default/osquerybeat-json.log

要在日志中获取更多详细信息,请将代理日志记录级别更改为调试

  1. 使用导航菜单或全局搜索字段转到Fleet
  2. 选择要调试的代理。

  3. 日志选项卡上,将代理日志记录级别更改为调试,然后单击应用更改

    agent.logging.levelfleet.yml中更新,并且日志记录级别更改为debug

« Osquery 导出字段参考 »