![5 coole neue Projekte zum Ausprobieren in Fedora Linux](/f/9368788ea8b0e08786a9d57bca19a221.png?width=100&height=100)
Osquery ist ein kostenloses Open-Source-, leistungsstarkes und plattformübergreifendes SQL-basiertes Betriebssystem-Instrumentierungs-, Überwachungs- und Analyse-Framework für Linux-, FreeBSD-, Windows- und Mac/OS X-Systeme, entwickelt von Facebook. Es ist ein einfacher und benutzerfreundlicher Betriebssystem-Explorer.
Es kombiniert eine Reihe von Tools, die eine Low-Level-Betriebssystemanalyse und -überwachung durchführen; Diese Tools enthüllen ein Betriebssystem als leistungsstarke relationale Datenbank wie MySQL/MariaDB, PostgreSQL und mehr, wo Betriebssystemkonzepte in Tabellenform dargestellt werden, sodass Benutzer SQL-Befehle verwenden können, um Systemüberwachung und -analyse durchzuführen.
Osquery Verwenden Sie ein einfaches Plugin und eine Erweiterungs-API, um SQL-Tabellen zu implementieren. Einige Tabellen können nur auf einem bestimmten Betriebssystem gefunden werden, zum Beispiel finden Sie die Tabelle kernel_modules nur auf Linux-Systemen.
Darüber hinaus können Sie Abfragen zum Überwachen und Analysieren des Betriebssystemstatus auf einem einzelnen Host über das
Osqueryi-Schale, oder auf mehreren Hosts in einem Netzwerk über einen Scheduler oder führen Sie sie aus einer Ihrer benutzerdefinierten Anwendungen mit osquery Thrift APIs aus.Das Osquery kann aus dem offiziellen Repository installiert werden mit geeignetlecker oder dnf Paketverwaltungstool auf Ihrer jeweiligen Linux-Distribution wie gezeigt.
$ OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B exportieren. $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' $ sudo apt-Update. $ sudo apt install osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager --enable osquery-s3-rpm-repo. $ sudo yum osquery installieren.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager --set-enabled osquery-s3-rpm. $ sudo dnf install osquery.
Nach erfolgreicher Installation Osquery Starten Sie auf Ihrem System die osqueryi Shell, um den Status Ihres Betriebssystems wie gezeigt abzufragen.
$ osqueryiVerwenden einer virtuellen Datenbank. Brauchen Sie Hilfe, geben Sie '.help' ein osquery>
Um eine zusammengefasste Linux-Systeminformation zu erhalten, führen Sie den folgenden Befehl aus.
osquery> SELECT * FROM system_info;
Führen Sie die folgende Abfrage aus, um eine gut formatierte Liste aller Benutzer auf dem Linux-System zu erhalten.
osquery> SELECT * FROM Benutzern;
Führen Sie die folgende Abfrage aus, um eine Liste aller Linux-Kernel-Module und deren Status zu erhalten.
osquery> SELECT * FROM kernel_modules;
Um einen zu bekommen Liste aller installierten RPM-Pakete Führen Sie unter CentOS, RHEL und Fedora die folgende Abfrage aus.
osquery> .all rpm_packages;
Führen Sie die folgende Abfrage aus, um Informationen zum Ausführen von Linux-Prozessen zu erhalten.
osquery> SELECT DISTINCT process.name, listen_ports.port, process.pid FROM listen_ports JOIN-Prozesse USING (pid) WHERE listen_ports.address = '0.0.0.0';
Wenn du läufst Osquery auf einem Desktop und haben Feuerfuchs oder Chrom installiert haben, können Sie alle Ihre Add-Ons mit der folgenden Abfrage auflisten.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Um eine Liste aller in Linux implementierten Tabellen anzuzeigen, verwenden Sie die .Tabellen Befehl wie abgebildet.
osquery> .tables; #alle implementierten Tabellen auflisten. osquery> .help; #Hilfenachricht anzeigen.
Osquery bietet auch Dateiintegritätsüberwachung (FIM) und Prozess- und Socket-Überwachungsfunktionen und mehr, daher ist es ein Intrusion Detection-Tool, das jedoch bestimmte Konfigurationen erfordert, bevor Sie es für einen solchen Zweck bereitstellen können. Weitere Informationen finden Sie im Osquery Github-Repository.