Osquery yra nemokama atviro kodo, galinga ir kelių platformų SQL pagrindu sukurta operacinės sistemos prietaisų, stebėjimo ir analizės sistema, skirta „Linux“, „FreeBSD“, „Windows“ ir „Mac/OS X“ sistemoms. Facebook. Tai paprasta ir paprasta naudoti operacinių sistemų naršyklė.
Jame yra keletas įrankių, kurie atlieka žemo lygio OS analizę ir stebėjimą; šie įrankiai atskleidžia operacinę sistemą kaip didelio našumo santykių duomenų bazę, pvz MySQL/MariaDB, „PostgreSQL“ ir dar daugiau, kai OS sąvokos pateikiamos lentelėmis, todėl vartotojai gali naudoti SQL komandas sistemos stebėjimui ir analizei atlikti.
Osquery naudokite paprastą papildinių ir plėtinių API, kad įdiegtumėte SQL lenteles, egzistuoja lentelių rinkinys, paruoštas naudoti, ir rašoma daugiau. Kai kurias lenteles galima rasti tik konkrečioje operacinėje sistemoje, pavyzdžiui, „Linux“ sistemose rasite tik lentelę „kernel_modules“.
Be to, galite vykdyti užklausas, kad stebėtumėte ir analizuotumėte OS būseną viename priegloboje per
osqueryi apvalkalas, arba keliuose tinklo kompiuteriuose per planavimo priemonę arba vykdykite juos iš bet kurios pasirinktinės programos, naudodami „osquery Thrift“ API.The Osquery galima įdiegti iš oficialios saugyklos naudojant tinkamasyum arba dnf paketo valdymo įrankis jūsų atitinkamame „Linux“ platinime, kaip parodyta.
$ eksportas OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv-keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main ' $ sudo apt atnaujinimas. $ sudo apt install osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager-įjunkite „osquery-s3-rpm-repo“. $ sudo yum įdiegti osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager-rinkinį įgalinanti osquery-s3-rpm. $ sudo dnf įdiegti osquery.
Sėkmingai įdiegę Osquery savo sistemoje paleiskite osqueryi apvalkalą, kad pradėtumėte užklausti savo OS būseną, kaip parodyta.
$ osqueryiNaudojant virtualią duomenų bazę. Reikia pagalbos, įveskite „.help“ osquery>
Norėdami gauti apibendrintą „Linux“ sistemos informaciją, paleiskite šią komandą.
osquery> SELECT * FROM system_info;
Norėdami gauti gerai suformuotą visų „Linux“ sistemos vartotojų sąrašą, vykdykite šią užklausą.
osquery> SELECT * FROM users;
Norėdami gauti visų „Linux“ branduolio modulių ir jų būsenos sąrašą, vykdykite šią užklausą.
osquery> SELECT * FRN kernel_modules;
Norėdami gauti a visų įdiegtų RPM paketų sąrašas „CentOS“, „RHEL“ ir „Fedora“ vykdykite šią užklausą.
osquery> .visi rpm_packages;
Norėdami gauti informacijos apie „Linux“ procesų vykdymą, vykdykite šią užklausą.
osquery> PASIRINKITE DISTINCT procesus.pavadinimas, klausymo_portų.portas, procesai.pid NUO klausymo_portų JOIN procesai NAUDOJANT (pid) WHERE Listen_ports.address = '0.0.0.0';
Jei bėgate osquery darbalaukyje ir turėti „Firefox“ arba „Chrome“ įdiegę, galite išvardyti visus savo priedus naudodami šią užklausą.
osquery> .visi firefox_addons; osquery> .visi chrome_extensions;
Norėdami rodyti visų įdiegtų „Linux“ lentelių sąrašą, naudokite .stalai komandą, kaip parodyta.
osquery>. staliukai; #išvardykite visas įdiegtas lenteles. osquery> .padėti; #peržiūrėti pagalbos pranešimą.
Osquery taip pat užtikrina failų vientisumo stebėjimą (FIM), taip pat procesų ir lizdų audito funkcijas ir dar daugiau, todėl tai yra įsilaužimo aptikimo įrankis, tačiau tam reikia tam tikrų konfigūracijų, kad galėtumėte jį įdiegti tokiu tikslu. Daugiau informacijos galite rasti iš „Osquery Github“ saugykla.