Osquery este un cadru de instrumentare, monitorizare și analiză a sistemului de operare SQL bazat pe SQL, open source, puternic și multiplataforma, pentru sisteme Linux, FreeBSD, Windows și Mac / OS X, construit de Facebook. Este un explorator de sisteme de operare simplu și ușor de utilizat.
Acesta combină o serie de instrumente care efectuează analize și monitorizare OS de nivel scăzut; aceste instrumente dezvăluie un sistem de operare ca o bază de date relațională de înaltă performanță, cum ar fi MySQL/MariaDB, PostgreSQL și mai mult, în cazul în care conceptele de sistem de operare sunt reprezentate sub formă de tabel, permițând astfel utilizatorilor să utilizeze comenzi SQL pentru a efectua monitorizarea și analiza sistemului.
Osquery utilizați un plugin simplu și extensii API pentru a implementa tabele SQL, există o colecție de tabele existente gata de utilizare și se scriu altele. Unele tabele pot fi găsite numai pe un sistem de operare specific, de exemplu, găsiți tabelul kernel_modules numai pe sistemele Linux.
În plus, puteți rula interogări pentru a monitoriza și analiza starea sistemului de operare pe o singură gazdă prin osqueryi shell, sau pe mai multe gazde dintr-o rețea prin intermediul unui planificator sau executați-le din oricare dintre aplicațiile dvs. personalizate utilizând API-urile Thrift osquery.
Osquery poate fi instalat din depozitul oficial folosind aptda sau dnf instrument de gestionare a pachetelor pe distribuția Linux respectivă, așa cum se arată.
$ export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main ' $ sudo apt actualizare. $ sudo apt install osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager --enable osquery-s3-rpm-repo. $ sudo yum instalează osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager - set-enabled osquery-s3-rpm. $ sudo dnf instalează osquery.
Odată ce ați instalat cu succes Osquery pe sistemul dvs., lansați osqueryi shell pentru a începe interogarea stării sistemului dvs. de operare așa cum se arată.
$ osqueryiUtilizarea unei baze de date virtuale. Aveți nevoie de ajutor, tastați „.help” osquery>
Pentru a obține o informație de sistem Linux rezumată, rulați următoarea comandă.
osquery> SELECT * FROM system_info;
Pentru a obține o listă bine formatată a tuturor utilizatorilor de pe sistemul Linux, rulați următoarea interogare.
osquery> SELECT * FROM utilizatori;
Pentru a obține o listă a tuturor modulelor kernel Linux și a stării acestora, rulați următoarea interogare.
osquery> SELECT * FROM kernel_modules;
A primi o lista tuturor pachetelor RPM instalate pe CentOS, RHEL și Fedora, executați următoarea interogare.
osquery> .all rpm_packages;
Pentru a obține o informație despre rularea proceselor Linux, rulați următoarea interogare.
osquery> SELECT DISTINCT proċese.nume, ascultare_porturi.port, procese.pid DIN ascultare_porturi ÎNREGISTRARE procese UTILIZARE (pid) UNDE ascultare_porturi.adresă = '0.0.0.0';
Dacă alergi osquery pe un desktop și au Firefox sau Crom instalat, puteți lista toate programele dvs. de completare utilizând următoarea interogare.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Pentru a afișa o listă a tuturor tabelelor implementate în Linux, utilizați .Mese comanda așa cum se arată.
osquery> .tables; # listează toate tabelele implementate. osquery> .help; #view mesaj de ajutor.
Osquery oferă, de asemenea, monitorizarea integrității fișierelor (FIM), și funcționalități de audit de proces și socket și multe altele, deci este un instrument de detectare a intruziunilor, dar acest lucru necesită anumite configurații înainte de al putea implementa în acest scop. Puteți găsi mai multe informații din Depozitul Osquery Github.