![お使いの携帯電話のGoogleマップから現在地の検索履歴を削除する方法は?](/f/32a80c3fce320fd38717babaad50a8ff.png?width=100&height=100)
Osquery は、Linux、FreeBSD、Windows、およびMac / OS Xシステム用の無料のオープンソースで強力なクロスプラットフォームのSQLベースのオペレーティングシステムのインストルメンテーション、監視、および分析フレームワークです。 フェイスブック. これは、シンプルで使いやすいオペレーティングシステムエクスプローラーです。
これは、低レベルのOS分析と監視を実行する多数のツールを組み合わせたものです。 これらのツールは、オペレーティングシステムを次のような高性能リレーショナルデータベースとして明らかにします。 MySQL/MariaDB, PostgreSQL さらに、OSの概念が表形式で表されているため、ユーザーはSQLコマンドを使用してシステムの監視と分析を実行できます。
Osquery 単純なプラグインと拡張APIを使用してSQLテーブルを実装し、すぐに使用できるテーブルのコレクションが存在し、さらに多くのテーブルが作成されています。 一部のテーブルは特定のオペレーティングシステムでのみ見つけることができます。たとえば、Linuxシステムではkernel_modulesテーブルしか見つかりません。
さらに、クエリを実行して、単一のホスト上のOSの状態を監視および分析できます。 osqueryiシェル、またはスケジューラを介してネットワーク上の複数のホストで、またはosquery ThriftAPIを使用して任意のカスタムアプリケーションからそれらを実行します。
NS Osquery を使用して公式リポジトリからインストールできます aptヤム また dnf 示されているように、それぞれのLinuxディストリビューションのパッケージ管理ツール。
$ export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B。 $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY。 $ sudo add-apt-repository'deb [arch = amd64] https://pkg.osquery.io/deb デブメイン」 $ sudoaptアップデート。 $ sudo apt installosquery。
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery。 $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager --enableosquery-s3-rpm-repo。 $ sudo yum installosquery。
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery。 $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager --set-enabledosquery-s3-rpm。 $ sudo dnf installosquery。
正常にインストールしたら Osquery システムで、を起動します osqueryi 示されているように、OSの状態のクエリを開始するシェル。
$ osqueryi仮想データベースの使用。 ヘルプが必要です。「。help」と入力してください osquery>
要約されたLinuxシステム情報を取得するには、次のコマンドを実行します。
osquery> SELECT * FROM system_info;
Linuxシステム上のすべてのユーザーの適切にフォーマットされたリストを取得するには、次のクエリを実行します。
osquery> SELECT * FROMユーザー;
すべてのLinuxカーネルモジュールとそのステータスのリストを取得するには、次のクエリを実行します。
osquery> SELECT * FROM kernel_modules;
取得するには インストールされているすべてのRPMパッケージのリスト CentOS、RHEL、Fedoraで、次のクエリを実行します。
osquery> .all rpm_packages;
Linuxプロセスの実行に関する情報を取得するには、次のクエリを実行します。
osquery> SELECT DISTINCT processs.name、listening_ports.port、processes.pid FROM listen_ports JOINプロセスUSING(pid)WHERE listen_ports.address = '0.0.0.0';
実行している場合 osquery デスクトップ上にあり、 Firefox また クロム インストールすると、次のクエリを使用してすべてのアドオンを一覧表示できます。
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Linuxで実装されているすべてのテーブルのリストを表示するには、 .tables 示されているコマンド。
osquery> .tables; #すべての実装済みテーブルを一覧表示します。 osquery> .help; #viewヘルプメッセージ。
Osquery ファイルの整合性の監視も提供します(FIM)、およびプロセスとソケットの監査機能など、したがって侵入検知ツールですが、このような目的で展開する前に、特定の構成が必要になります。 あなたはからより多くの情報を見つけることができます OsqueryGithubリポジトリ.