Osquery egy ingyenes, nyílt forráskódú, hatékony és platformokon átívelő SQL-alapú operációs rendszer műszerezési, megfigyelési és elemzési keretrendszer Linux, FreeBSD, Windows és Mac/OS X rendszerekhez, Facebook. Ez egy egyszerű és könnyen használható operációs rendszer-felfedező.
Számos eszközt egyesít, amelyek alacsony szintű OS-elemzést és -figyelést végeznek; ezek az eszközök felfedik az operációs rendszert nagy teljesítményű relációs adatbázisként, mint pl MySQL/MariaDB, PostgreSQL és még sok más, ahol az operációs rendszer fogalmait táblázatos formában ábrázolják, így a felhasználók SQL parancsokat használhatnak a rendszer felügyeletéhez és elemzéséhez.
Osquery Egy egyszerű plugin és kiterjesztés API -t használjon az SQL táblák megvalósításához, a táblák gyűjteménye készen áll a használatra, és több is íródik. Egyes táblázatok csak egy adott operációs rendszeren találhatók, például csak a kernel_modules táblát találja meg Linux rendszereken.
Ezenkívül lekérdezéseket futtathat az operációs rendszer állapotának megfigyelésére és elemzésére egyetlen gépen a
osqueryi héj, vagy a hálózat több állomásán egy ütemezőn keresztül, vagy futtassa őket bármelyik egyéni alkalmazásból az osquery Thrift API -k használatával.Az Osquery segítségével telepíthető a hivatalos adattárból találóyum vagy dnf csomagkezelő eszköz a megfelelő Linux disztribúción, az ábrán látható módon.
$ export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv-kulcsszerver kulcsszerver.ubuntu.com --recv-keys $ OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main ' $ sudo apt frissítés. $ sudo apt install osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager --engedélyezze az osquery-s3-rpm-repo. $ sudo yum telepítse az osquery -t.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager-set-enabled osquery-s3-rpm. $ sudo dnf telepítse az osquery -t.
Miután sikeresen telepítette Osquery a rendszeren, indítsa el a osqueryi shell, hogy elkezdje lekérdezni az operációs rendszer állapotát az ábrán látható módon.
$ osqueryiVirtuális adatbázis használata. Segítségre van szüksége, írja be a ".help" szót osquery>
A Linux rendszerinformációinak összefoglalásához futtassa a következő parancsot.
osquery> SELECT * FROM system_info;
A Linux rendszer összes felhasználójának jól formázott listájának megtekintéséhez futtassa a következő lekérdezést.
osquery> SELECT * FROM felhasználók;
Az összes Linux kernelmodul listájának és állapotának megtekintéséhez futtassa a következő lekérdezést.
osquery> SELECT * FROM kernel_modules;
Ahhoz, hogy a az összes telepített RPM csomag listája futtassa a következő lekérdezést a CentOS, az RHEL és a Fedora rendszeren.
osquery>. minden rpm_packages;
Ha tájékoztatást szeretne kapni a Linux folyamatok futtatásáról, futtassa a következő lekérdezést.
osquery> DISTINCT folyamatok kiválasztása.név, figyelési_portok.port, process.pid FROM Listen_ports JELENTKEZÉS folyamatok HASZNÁLATA (pid) WHERE Listen_ports.address = '0.0.0.0';
Ha fut osquery asztalon és van Firefox vagy Króm telepítve, az alábbi lekérdezés segítségével felsorolhatja az összes bővítményt.
osquery>. minden firefox_addons; osquery> .minden chrome_extensions;
A Linuxon megvalósított összes táblázat megjelenítéséhez használja a .asztalok parancsot az ábrán látható módon.
osquery> .asztalok; #sorolja fel az összes megvalósított táblázatot. osquery> .help; #tekintse meg a súgóüzenetet.
Osquery a fájl integritásának ellenőrzését is biztosítja (FIM), valamint folyamat- és aljzat -ellenőrzési funkciók és még sok más, így ez egy behatolásjelző eszköz, de ez bizonyos konfigurációkat igényel, mielőtt ilyen célra telepítheti. További információt a Osquery Github adattár.