Osquery - это бесплатная мощная кроссплатформенная платформа для инструментовки, мониторинга и аналитики операционной системы с открытым исходным кодом, основанная на SQL, для систем Linux, FreeBSD, Windows и Mac / OS X, созданная компанией Facebook. Это простой и легкий в использовании обозреватель операционной системы.
Он сочетает в себе ряд инструментов, которые выполняют низкоуровневую аналитику и мониторинг ОС; эти инструменты раскрывают операционную систему как высокопроизводительную реляционную базу данных, такую как MySQL/MariaDB, PostgreSQL и многое другое, где концепции ОС представлены в табличной форме, что позволяет пользователям использовать команды SQL для выполнения системного мониторинга и аналитики.
Osquery используйте простой плагин и API расширений для реализации таблиц SQL, существует коллекция таблиц, готовых к использованию, и еще больше пишется. Некоторые таблицы можно найти только в определенной операционной системе, например, вы найдете только таблицу kernel_modules в системах Linux.
Кроме того, вы можете запускать запросы для мониторинга и анализа состояния ОС на одном хосте через оболочка osqueryi, либо на нескольких хостах в сети через планировщик, либо выполнять их из любого из ваших пользовательских приложений с помощью API-интерфейсов osquery Thrift.
В Osquery можно установить из официального репозитория с помощью подходящийвкуснятина или dnf инструмент управления пакетами в соответствующем дистрибутиве Linux, как показано.
$ экспорт OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main ' $ sudo apt update. $ sudo apt install osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager --enable osquery-s3-rpm-repo. $ sudo yum install osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager --set-enabled osquery-s3-rpm. $ sudo dnf установить osquery.
После того, как вы успешно установили Osquery в вашей системе запустите Osqueryi shell, чтобы начать запрашивать состояние вашей ОС, как показано.
$ osqueryiИспользование виртуальной базы данных. Нужна помощь, введите .help. osquery>
Чтобы получить сводную информацию о системе Linux, выполните следующую команду.
osquery> SELECT * FROM system_info;
Чтобы получить хорошо сформированный список всех пользователей в системе Linux, выполните следующий запрос.
osquery> ВЫБРАТЬ * ИЗ пользователей;
Чтобы получить список всех модулей ядра Linux и их статус, выполните следующий запрос.
osquery> SELECT * FROM kernel_modules;
Чтобы получить список всех установленных пакетов RPM в CentOS, RHEL и Fedora выполните следующий запрос.
osquery> .all rpm_packages;
Чтобы получить информацию о запущенных процессах Linux, выполните следующий запрос.
osquery> ВЫБРАТЬ РАЗЛИЧНЫЕ процессы.имя, порт_прослушивания, процессы.pid ИЗ_портов_прослушивания СОЕДИНЯТЬ процессы ИСПОЛЬЗОВАНИЕ (pid) ГДЕ listen_ports.address = '0.0.0.0';
Если вы бежите osquery на рабочем столе и есть Fire Fox или Хром установлен, вы можете перечислить все свои надстройки, используя следующий запрос.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Чтобы отобразить список всех реализованных таблиц в Linux, используйте .tables команду, как показано.
osquery>. таблицы; # перечислить все реализованные таблицы. osquery> .help; # просмотреть справочное сообщение.
Osquery также обеспечивает мониторинг целостности файлов (FIM), а также функции аудита процессов и сокетов и многое другое, таким образом, это инструмент обнаружения вторжений, но для этого требуется определенная конфигурация, прежде чем вы сможете развернуть его для такой цели. Вы можете найти дополнительную информацию в Репозиторий Osquery на Github.
