Osquery er en gratis open source, kraftfuld og tværplatformet SQL-baseret operativsysteminstrumentering, overvågning og analyseramme til Linux-, FreeBSD-, Windows- og Mac/OS X-systemer, bygget af Facebook. Det er en enkel og let at bruge operativsystem explorer.
Det kombinerer en række værktøjer, der udfører analyse og overvågning på lavt niveau af OS; disse værktøjer afslører et operativsystem som en højtydende relationsdatabase som f.eks MySQL/MariaDB, PostgreSQL og mere, hvor OS -koncepter er repræsenteret i tabelform, hvilket giver brugerne mulighed for at anvende SQL -kommandoer til at udføre systemovervågning og analyse.
Osquery brug et simpelt plugin og udvidelses -API til at implementere SQL -tabeller, der findes en samling tabeller, der er klar til brug, og mere bliver skrevet. Nogle tabeller kan kun findes på et specifikt operativsystem, for eksempel kan du kun finde tabellen kernel_modules på Linux -systemer.
Derudover kan du køre forespørgsler for at overvåge og analysere OS -tilstand på en enkelt vært via
osqueryi skal, eller på flere værter på et netværk via en planlægger eller udfør dem fra en hvilken som helst af dine brugerdefinerede applikationer ved hjælp af osquery Thrift API'er.Det Osquery kan installeres fra det officielle arkiv ved hjælp af passendeyum eller dnf pakkehåndteringsværktøj på din respektive Linux -distribution som vist.
$ eksport OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv-keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main ' $ sudo apt opdatering. $ sudo apt installere osquery.
$ krølle -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager-add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager-aktiver osquery-s3-rpm-repo. $ sudo yum installer osquery.
$ krølle -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager-tilføj-repo-tilføj-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager-sæt-aktiveret osquery-s3-rpm. $ sudo dnf installer osquery.
Når du har installeret det med succes Osquery på dit system, start osqueryi shell for at begynde at forespørge om tilstanden til dit operativsystem som vist.
$ osqueryiBrug af en virtuel database. Brug for hjælp, skriv '.help' osquery>
For at få en opsummeret Linux -systeminformation, kør følgende kommando.
osquery> SELECT * FROM system_info;
For at få en velformuleret liste over alle brugere på Linux -systemet, skal du køre følgende forespørgsel.
osquery> SELECT * FRA brugere;
For at få en liste over alle Linux -kernemoduler og deres status skal du køre følgende forespørgsel.
osquery> SELECT * FRA kernel_modules;
For at få en liste over alle installerede RPM -pakker på CentOS, RHEL og Fedora, kør følgende forespørgsel.
osquery> .all rpm_packages;
For at få en information om at køre Linux -processer, skal du køre følgende forespørgsel.
osquery> SELECT DISTINCT process.name, listening_ports.port, process.pid FRA listening_ports Deltag i processer BRUG (pid) WHERE listening_ports.address = '0.0.0.0';
Hvis du løber osquery på et skrivebord og har Firefox eller Chrome installeret, kan du liste alle dine tilføjelsesprogrammer ved hjælp af følgende forespørgsel.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
For at få vist en liste over alle implementerede tabeller i Linux, skal du bruge . tabeller kommando som vist.
osquery>. tabeller; #liste alle implementerede tabeller. osquery> .help; #vis hjælpemeddelelse.
Osquery giver også overvågning af filintegritet (FIM), og proces- og socket -revisionsfunktioner og mere, og derfor er det et indbrudsdetekteringsværktøj, men dette kræver visse konfigurationer, før du kan implementere det til et sådant formål. Du kan finde flere oplysninger fra Osquery Github -depot.