CentOS 7 安装osquery监控系统

最新推荐文章于 2023-04-28 16:34:26 发布
最新推荐文章于 2023-04-28 16:34:26 发布
阅读量6.6k 收藏
点赞数
分类专栏: 【CentOS7】 【Monitoring】 CentOS 7系统管理与运维实战 文章标签: centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wh211212/article/details/53113652
版权

osquery 简介

  • osquery是一个SQL驱动操作系统检测和分析工具。osquery支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。它使得底层操作系统分析和监控性能更加直观
  • 项目主页:http://osquery.io/
  • 代码托管地址:https://github.com/facebook/osquer
    这里写图片描述

osquery 安装

[root@linuxprobe~]# yum -y install https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm
[root@linuxprobe~]# yum -y install osquery

osquery 使用文档: https://osquery.io/docs/tables/ 

# 使用例子
# run osquery shell
[root@linuxprobe~]# osqueryi
osquery - being built, with love, at Facebook
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Using a virtual database. Need help, type '.help'
osquery> 
# show all column of tables for OS version
osquery> select * from os_version; 
+--------------+----------+-------+-------+-------+-------+----------+---------------+----------+
| name         | version  | major | minor | patch | build | platform | platform_like | codename |
+--------------+----------+-------+-------+-------+-------+----------+---------------+----------+
| CentOS Linux | 7 (Core) | 7     |       |       |       | centos   | rhel fedora   |          |
+--------------+----------+-------+-------+-------+-------+----------+---------------+----------+

# show some column of tables for System info
osquery> select hostname, cpu_brand, hardware_vendor, hardware_model from system_info; 
+----------------+-----------------------------------------+-----------------+-------------------------+
| hostname       | cpu_brand                               | hardware_vendor | hardware_model          |
+----------------+-----------------------------------------+-----------------+-------------------------+
| linuxprobe.org | Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz | VMware, Inc.    | VMware Virtual Platform |
+----------------+-----------------------------------------+-----------------+-------------------------+

# show some column of tables and also specify over 1000 of UID for User info
osquery> select uid, gid, username, shell from users where uid >= 1000; 
+-------+-------+-----------+---------------+
| uid   | gid   | username  | shell         |
+-------+-------+-----------+---------------+
| 1000  | 1000  | shaon     | /bin/bash     |
| 1001  | 1001  | wang      | /bin/bash     |
| 65534 | 65534 | nfsnobody | /sbin/nologin |
+-------+-------+-----------+---------------+

# show all column of tables for CPU Time
osquery> select * from cpu_time; 
+------+------+------+--------+-------+--------+-----+---------+-------+-------+------------+
| core | user | nice | system | idle  | iowait | irq | softirq | steal | guest | guest_nice |
+------+------+------+--------+-------+--------+-----+---------+-------+-------+------------+
| 0    | 912  | 0    | 3679   | 54015 | 2149   | 0   | 157     | 0     | 0     | 0          |
+------+------+------+--------+-------+--------+-----+---------+-------+-------+------------+

# to quit shell, push Ctrl+D 
osquery>

定时监控设置

  • 创建osquery配置文件
 [root@linuxprobe~]# vi /etc/osquery/osquery.conf
# create new
{
  "options": {
    // select the osquery config plugin (filesystem is default)
    "config_plugin": "filesystem",

    // select the osquery logging plugin (filesystem is default)
    "logger_plugin": "filesystem",

    // the PATH of log direcroty
    "logger_path": "/var/log/osquery",

    // PID file of the daemon
    "pidfile": "/var/osquery/osquery.pidfile",

    // the number of threads for concurrent query
    "worker_threads": "2",

    // enable schedule profiling
    // if adding a query "select * from osquery_schedule" in schedule section,
    // it's possible to record the performances
    "enable_monitor": "true"
  },

  "schedule": {
    // for example, get CPU Time per 300 seconds
    "cpu_time": {
      "query": "SELECT * FROM cpu_time;",
      "interval": 300
    },
    // for example, get settings of resolv.conf per an hour
    "dns_resolvers": {
      "query": "SELECT * FROM dns_resolvers;",
      "interval": 3600
    }
  },

   "packs": {
     // possible to include other configration files
     "hardware-monitoring": "/usr/share/osquery/packs/hardware-monitoring.conf"
   }
}
  • 启动osquery
[root@linuxprobe ~]# systemctl start osqueryd 
[root@linuxprobe ~]#  systemctl enable osqueryd 
Created symlink from /etc/systemd/system/multi-user.target.wants/osqueryd.service to /usr/lib/systemd/system/osqueryd.service.
  • 查看osquery日志
[root@linuxprobe osquery]# less /var/log/osquery/osqueryd.results.log
shaonbean
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
osquery的认识
墨痕诉清风的博客
11-15 974
说明 osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
osquery 查询系统信息
thinker
06-26 996
说明 本文是一篇翻译稿,原文是:https://blog.kolide.com/osquery-under-the-hood-c1a8df46bb7a 在4年的时间里,有243个贡献者一共提交了4573个commit,为osquery的发展作出了贡献。osquery是一个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行一个简要的介绍。 本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架
osquery:OSQuery构建以演示Dockerfile最佳实践
05-24
osquery OSQuery构建以演示Dockerfile最佳实践
centos7 安装HIDS
duowei10345677w的博客
04-25 194
1.查看操作系统版本。
网络保护第二层: IDS
半夏_2021的博客
05-08 1919
网络保护第二层: IDS
Centos7搭建ossec-hids2.8.3入侵检测系统
kadwf123的专栏
08-19 3746
1、故事背景,项目要求三级等保,大家懂的。 2、操作系统版本 [root@ossec01 yum.repos.d]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) 3、安装wget 安装wget(如果有外网的话可以直接使用centos7安装后自带的yum源安装wget,没有外网使用本地安装镜像配置个本地源安装)...
搭建centos7系统部署项目
熊熊的博客
07-16 640
新建centos7虚拟机 1. 打开Hyper-v,新建-虚拟机 2. 安装步骤 指定虚拟机名称 指定代数选择【第一代】 配置网络选择【net1】 连接虚拟硬盘选择【创建虚拟硬盘】 安装选项选择【以后安装操作系统】-【映像文件】 完成 选中虚拟机-设置-IDE驱动器1-DVD驱动器-选择映像文件-应用-确定 3. 启动并连接虚拟机,按需求设置磁盘分区,设置密码。登录 连接虚拟机,进入命令界面 分配虚拟机ip: cd /etc/sysconfig/network-scripts
Security:osquery 介绍
Elastic 中国社区官方博客
04-28 3923
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery将操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。 SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...
如何使用osquery在Windows上实时监控文件?
2301_77157449的博客
04-28 1357
Windows上的文件监控方法通常分为以下三种:Win32/WinAPI接口:FindFirstChangeNotification, ReadDirectoryChangesW;文件系统过滤器驱动程序和Minifilter,所谓的Minifilter其实就是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。
【系统审计】osquery安装与使用
没枕头我咋睡觉
10-19 3909
1 介绍 2 安装: 下载地址:https://osquery.io/downloads/official/4.5.1 在根目录/下面解压 工具目录结构 2 启动
osquery-cookbook:安装 Osquery 的最新稳定版本
06-22
描述 安装提供的最新稳定版本的 。 要求 目前这本说明书仅支持 CentOS 6/7 和 Ubuntu 12.04/14.04,并且需要 apt 说明书才能在 Ubuntu 上安装。 问题 路线图
操作系统监控工具osquery.zip
07-19
osquery 是 SQL 驱动的分析和监控操作系统的工具,是操作系统分析框架,支持 OS X 和 Linux 系统。osquery 能帮助监控和分析低水平的操作系统,提供更直观的性能监控。osquery 在操作系统中就像是一个高性能的关系数据库,允许你编写基于 SQL 的查询语句来洞察操作系统的数据。使用 osquery,SQL 表代表如下抽象概念:运行时的进程 加载内核模块开放网络连接 SQL 表通过一个简单的可扩展 API 实现,各种表已经存在并且还在不断增加。为了更好的理解 osquery,看看下面的 SQL 查询:-------------------------------------------------------- -- get the name, pid and attached port of all processes  -- which are listening on all interfaces -------------------------------------------------------- SELECT DISTINCT    process.name,    listening.port,    process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid WHERE listening.address = '0.0.0.0';-------------------------------------------------------- -- find every launchdaemon on an OS X host which  --   * launches an executable when the operating  --     system starts --   * keeps the executable running  -- return the name of the launchdaemon and the full  -- path (with arguments) of the executable to be ran. -------------------------------------------------------- SELECT    name,    program || program_arguments AS executable  FROM launchd  WHERE    (run_at_load = 'true' AND keep_alive = 'true')  AND    (program != '' OR program_arguments != '');这些查询可以:在特定条件下探索操作系统状态通过执行调度程序来监控操作系统的主机状态启动使用osquery api的自定义应用程序
osquery-extensions:按位跟踪的osquery扩展
02-03
osquery-extensions:按位跟踪的osquery扩展
osquery_windows环境编译的工具
12-04
cmake-3.19.1-win64-x64.msi、 Git-2.29.2.2-64-bit .exe、 python-3.8.1-amd64.exe、 strawberry-perl-5.30.2.1-64bit.msi、vs_buildtools__714742803.1589532331.exe、vs_community__714742803.1589532331.exe、 osquery-git-2020-12-04.rar、 wix311.exe
在VMware上安装CentOS7操作系统
11-22
在VMware上安装CentOS7操作系统
CentOS7基于Netinstall安装系统
10-24
VMware Workstations安装Linux虚拟机详细教程,CentOS7基于Netinstall安装系统
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB
CentOS 7系统安装操作指导书 .docx
01-07
安装Centos7系统的操作说明
Centos 7 系统安装.pdf
01-16
Centos 7 系统安装 p -rv a b 拷贝数据a到b 显示拷贝过程 rm -rf /var/log/httpd/access 删除文件夹实例 /var/log/httpd/access 将会删除目录以及其下所有文件、文件夹 rm -f /var/log/httpd/access.log 删除...
centos7 安装监控应用
最新发布
06-08
1. Nagios:一个基于 Web 的监控系统,支持对服务器、网络设备、应用程序等进行监控。 2. Zabbix:一个开源的企业级监控系统,支持对网络、服务器、应用程序等进行监控。 3. Cacti:一个基于 RRDtool 的图形化网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值