Osquery เป็นโอเพ่นซอร์สฟรี ทรงพลังและข้ามแพลตฟอร์มเครื่องมือวัด การตรวจสอบ และเฟรมเวิร์กของระบบปฏิบัติการที่ใช้ SQL ข้ามแพลตฟอร์มสำหรับระบบ Linux, FreeBSD, Windows และ Mac/OS X ที่สร้างขึ้นโดย Facebook. เป็นตัวสำรวจระบบปฏิบัติการที่เรียบง่ายและใช้งานง่าย
มันรวมเครื่องมือจำนวนหนึ่งที่ทำการวิเคราะห์และติดตามระบบปฏิบัติการระดับต่ำ เครื่องมือเหล่านี้เผยให้เห็นระบบปฏิบัติการเป็นฐานข้อมูลเชิงสัมพันธ์ที่มีประสิทธิภาพสูงเช่น MySQL/MariaDB, PostgreSQL และอื่นๆ ซึ่งแนวคิด OS จะแสดงในรูปแบบตาราง ซึ่งทำให้ผู้ใช้สามารถใช้คำสั่ง SQL เพื่อดำเนินการตรวจสอบและวิเคราะห์ระบบได้
Osquery ใช้ API ปลั๊กอินและส่วนขยายอย่างง่ายเพื่อใช้งานตาราง SQL มีชุดของตารางที่พร้อมใช้งาน และกำลังเขียนเพิ่มเติม ตารางบางตารางสามารถพบได้ในระบบปฏิบัติการเฉพาะ เช่น คุณจะพบเฉพาะตาราง kernel_modules บนระบบ Linux
นอกจากนี้ คุณสามารถเรียกใช้แบบสอบถามเพื่อตรวจสอบและวิเคราะห์สถานะ OS บนโฮสต์เดียวผ่านทาง เปลือก osqueryiหรือหลายโฮสต์บนเครือข่ายผ่านตัวกำหนดเวลาหรือเรียกใช้จากแอปพลิเคชันที่กำหนดเองใดๆ ของคุณโดยใช้ Thrift API ของ osquery
NS Osquery สามารถติดตั้งได้จากที่เก็บอย่างเป็นทางการโดยใช้ ฉลาดยำ หรือ dnf เครื่องมือการจัดการแพ็คเกจบนการแจกจ่าย Linux ตามลำดับของคุณดังที่แสดง
$ ส่งออก OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb เด็บหลัก' $ sudo apt อัปเดต $ sudo apt ติดตั้ง osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager -- เปิดใช้งาน osquery-s3-rpm-repo $ sudo yum ติดตั้ง osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager --set-enabled osquery-s3-rpm. $ sudo dnf ติดตั้ง osquery
เมื่อคุณติดตั้งสำเร็จแล้ว Osquery ในระบบของคุณ ให้เปิด osqueryi เชลล์เพื่อเริ่มการสืบค้นสถานะของระบบปฏิบัติการของคุณตามที่แสดง
$ osqueryiการใช้ฐานข้อมูลเสมือน ต้องการความช่วยเหลือ พิมพ์ '.help' osquery>
ในการรับข้อมูลสรุประบบ Linux ให้รันคำสั่งต่อไปนี้
osquery> SELECT * จาก system_info;
หากต้องการรับรายชื่อผู้ใช้ทั้งหมดบนระบบ Linux ที่จัดรูปแบบอย่างดี ให้เรียกใช้แบบสอบถามต่อไปนี้
osquery> SELECT * จากผู้ใช้;
หากต้องการรับรายการโมดูลเคอร์เนล Linux ทั้งหมดและสถานะ ให้เรียกใช้แบบสอบถามต่อไปนี้
osquery> SELECT * จาก kernel_modules;
ที่จะได้รับ รายการแพ็คเกจ RPM ที่ติดตั้งทั้งหมด บน CentOS, RHEL และ Fedora ให้เรียกใช้แบบสอบถามต่อไปนี้
osquery> .all rpm_packages;
หากต้องการรับข้อมูลเกี่ยวกับการเรียกใช้กระบวนการ Linux ให้เรียกใช้แบบสอบถามต่อไปนี้
osquery> SELECT DISTINCT processes.name, listen_ports.port, processes.pid จาก listen_ports JOIN ประมวลผลโดยใช้ (pid) โดยที่ listen_ports.address = '0.0.0.0';
หากคุณกำลังวิ่ง osquery บนเดสก์ท็อปและมี Firefox หรือ โครเมียม ติดตั้งแล้ว คุณสามารถแสดงรายการส่วนเสริมทั้งหมดของคุณโดยใช้แบบสอบถามต่อไปนี้
osquery> .all firefox_addons; osquery> .all chrome_extensions;
ในการแสดงรายการของตารางที่นำมาใช้ทั้งหมดใน Linux ให้ใช้ .tables คำสั่งตามที่แสดง
osquery> .tables; #list ตารางที่ดำเนินการทั้งหมด osquery> .help; #ดูข้อความช่วยเหลือ
Osquery ยังจัดให้มีการตรวจสอบความสมบูรณ์ของไฟล์ (FIM) และคุณสมบัติการตรวจสอบกระบวนการและซ็อกเก็ต และอื่นๆ ดังนั้นจึงเป็นเครื่องมือตรวจจับการบุกรุก แต่ต้องมีการกำหนดค่าบางอย่างก่อนที่คุณจะปรับใช้เพื่อวัตถุประสงค์ดังกล่าว คุณสามารถหาข้อมูลเพิ่มเติมได้จาก ที่เก็บ Osquery Github.