Osquery is een gratis open source, krachtig en platformonafhankelijk SQL-gebaseerd instrumentatie-, monitoring- en analyseraamwerk voor Linux-, FreeBSD-, Windows- en Mac/OS X-systemen, gebouwd door Facebook. Het is een eenvoudige en gebruiksvriendelijke verkenner van het besturingssysteem.
Het combineert een aantal tools die OS-analyse en monitoring op laag niveau uitvoeren; deze tools onthullen een besturingssysteem als een krachtige relationele database zoals: MySQL/MariaDB, PostgreSQL en meer, waar OS-concepten in tabelvorm worden weergegeven, waardoor gebruikers SQL-opdrachten kunnen gebruiken om systeembewaking en analyse uit te voeren.
Osquery gebruik een eenvoudige API voor plug-ins en extensies om SQL-tabellen te implementeren, er bestaat een verzameling tabellen die klaar zijn voor gebruik en er worden er nog meer geschreven. Sommige tabellen zijn alleen te vinden op een specifiek besturingssysteem, u vindt de tabel kernel_modules bijvoorbeeld alleen op Linux-systemen.
Bovendien kunt u query's uitvoeren om de OS-status op een enkele host te controleren en te analyseren via de
osqueryi schelp, of op verschillende hosts op een netwerk via een planner of voer ze uit vanuit een van uw aangepaste toepassingen met behulp van osquery Thrift API's.De Osquery kan worden geïnstalleerd vanuit de officiële repository met behulp van geschiktjammie of dnf pakketbeheertool op uw respectieve Linux-distributie zoals weergegeven.
$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb hoofd' $ sudo apt-update. $ sudo apt install osquery.
$ krul -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager -- schakel osquery-s3-rpm-repo in. $ sudo yum installatie osquery.
$ krul -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager --set-enabled osquery-s3-rpm. $ sudo dnf installatie osquery.
Zodra u met succes hebt geïnstalleerd Osquery op uw systeem, start de osqueryi shell om te beginnen met het opvragen van de status van uw besturingssysteem, zoals weergegeven.
$ osqueryiMet behulp van een virtuele database. Hulp nodig, typ '.help' osquery>
Voer de volgende opdracht uit om een beknopte Linux-systeeminformatie te krijgen.
osquery> SELECT * FROM system_info;
Voer de volgende query uit om een goed opgemaakte lijst van alle gebruikers op het Linux-systeem te krijgen.
osquery> SELECT * FROM gebruikers;
Voer de volgende query uit om een lijst te krijgen van alle Linux-kernelmodules en hun status.
osquery> SELECT * FROM kernel_modules;
om een te krijgen lijst met alle geïnstalleerde RPM-pakketten op CentOS, RHEL en Fedora, voer de volgende query uit.
osquery> .alle rpm_packages;
Voer de volgende query uit om informatie te krijgen over het uitvoeren van Linux-processen.
osquery> SELECTEER DISTINCT process.name, listen_ports.port, processen.pid UIT listen_ports JOIN processen GEBRUIKEN (pid) WHERE listen_ports.address = '0.0.0.0';
Als je aan het rennen bent osquery op een desktop en heb Firefox of Chroom geïnstalleerd, kunt u al uw add-ons weergeven met behulp van de volgende query.
osquery> .alle firefox_addons; osquery> .alle chrome_extensies;
Om een lijst van alle geïmplementeerde tabellen in Linux weer te geven, gebruik je de .tafels commando zoals getoond.
osquery> .tabellen; #list alle geïmplementeerde tabellen. osquery> .help; #bekijk helpbericht.
Osquery biedt ook bewaking van bestandsintegriteit (FIM), en proces- en socketcontrolefuncties en meer, dus het is een hulpmiddel voor inbraakdetectie, maar dit vereist bepaalde configuraties voordat u het voor een dergelijk doel kunt inzetten. Meer informatie vindt u op de Osquery Github-repository.