osquery 查询系统信息

已于 2024-02-27 17:35:29 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: security 文章标签: jvm
于 2021-06-26 09:49:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MEIYOUDAO_JIUSHIDAO/article/details/118241419
版权
osquery是一款能够使用SQL查询系统信息的工具,其核心是Query Engine,使用SQLite解析SQL但不依赖其存储数据。数据主要通过虚拟表(Virtual Tables)获取,RocksDB用于存储部分数据。osquery的Event System支持实时监控,Scheduler处理定时任务以避免浪涌,Diff Engine用于输出查询结果的差异。此外,还涉及配置、日志、分布式查询插件等功能,确保在多种环境中高效稳定运行。
摘要由CSDN通过智能技术生成

说明

本文是一篇翻译稿,原文是:Osquery: Under the Hood

在4年的时间里,有243个贡献者一共提交了4573个commit,为osquery的发展作出了贡献。osquery是一个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行一个简要的介绍。

本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架构中学习的任何人。对于那些刚接触osquery来说,通过在macOS上面使用osquery也是一个很好的开始

架构说明

osquery的整体架构如下图所示:

Query Engine

由于osquery良好的设计使得普通用户也能够使用SQL语句查询得到系统信息。osquery并没有完全使用sqlite,只是SQL的执行引擎是sqlite。osquery使用SQLite来解析、优化、执行SQL语句,使得osquery更加关注于解析系统信息。osquery底层并没有完全使用sqlite,仅仅只是查询引擎使用的是osquery

虽然osquery使用SQLite作为查询引擎,但是并没有使用SQLite来存储数据。大部分的数据都是在查询时通过一个虚拟表得到的。osquery通过嵌入的RocksDB来存储数据。

查询示例如下:

Virtual Tables

虚表是osquery的核心。虚表中保存了我们查询时的所有数据。当我们执行SQL查询时才会产生虚表数据。虚表数据一般都是通过解析文件或者是调用系统API来实现的

所有的表都是利用Python中的DSL来定义的。osquery通过读取这些文件来判断osquery有哪些表。在前面的文章中也已经说过,在

最低0.47元/天 解锁文章
HeathXian
关注
专栏目录
osquery的认识
墨痕诉清风的博客
11-15 1011
说明 osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
osquery
jianminHuang的博客
05-28 250
osquery查询操作系统信息。把操作系统当作数据库,使用sql来查询操作系统相关信息。 ./osqueryi 进入查询命令提示符界面 输入命令 select * from os_version 输入命令 .tables .exit 参考: https://osquery.readthedocs.io/en/stable/ https://osquery.io/downloads/official/4.8.0 https://blog.csdn...
Osquery Linux (x86_64)系统-内网/无网络环境安装
最新发布
KeriTAT的博客
06-26 317
osquery是一个强大的系统信息查询程序,由于它是开源的,其对于不同系统各类信息的获取的方法,非常值得我们探索和学习,但在之前,我们首选要学会最基本的安装和使用它。windows 和 linux在线安装方式 请自行查阅其他安装教程,本文是介绍相对比较复杂的内网/无网络环境安装。
查询一个消息队列的状态,OSQQuery()
FunkyFrog821951259的博客
04-16 1747
OSQQuery()函数使用户可以查询一个消息队列的当前状态。程序清单 L6.27是该函数的源代码。OSQQuery()需要两个参数:一个是指向消息队列的指针pevent。它是在建立一个消息队列时,由OSQCreate()函数返回的;另一个是指向OS_Q_DATA(见uCOS_II.H)数据结构的指针pdata。该结构包含了有关消息队列的信息。在调用OSQQuery()函数之前,必须先定义该数据结
osquery简单试用
weixin_34122548的博客
04-14 1516
备注:  osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控 1. 安装 参考 https://osquery.io/downloads/official/2.11.2 我使用的是centos 使用rpm 包安装 wget https://pkg.osquery.io/rpm/osquery-2.11.2-...
OSQUERY实战.pdf
08-08
全平台意味着它能够适配于Windows,Linux,Mac,Ios,Andriod,并能够通过非常简单的Query语句进行系统信息查询,所以被广泛用于运维、监控,而由于其监控能力的丰富,也有越来越多的安全工程师开始利用osquery进行...
python-osquery:osquery 的 Python 绑定
06-14
- 文件系统信息:`SELECT * FROM files` - 网络连接:`SELECT * FROM network_connections` - 系统日志:`SELECT * FROM syslog` #### 3.2 表(Tables) osquery提供了大量预定义的表,涵盖系统各个层面,如进程、...
信息安全_数据安全_Introduction to Osquery.pdf
08-22
Osquery 是一款强大的开源工具,它为操作系统提供了关系型数据库查询的能力,使得安全、合规和运营(包括DevOps)等领域的监控变得更加便捷。Facebook于2014年开发了Osquery,旨在解决大规模主机监控和威胁狩猎的...
osquery-cookbook:安装 Osquery 的最新稳定版本
06-22
osquery 将操作系统作为一个关系型数据库,提供 SQL 接口来查询系统信息,包括进程、文件系统、网络连接、用户活动等。其设计目标是提供低延迟、高效能的系统监控,同时降低对操作系统的性能影响。 ### 二、系统...
操作系统监控工具osquery.zip
07-19
osquery 是 SQL 驱动的分析和监控操作系统的工具,是操作系统分析框架,支持 OS X 和 Linux 系统osquery 能帮助监控和分析低水平的操作系统,提供更直观的性能监控。osquery 在操作系统中就像是一个高性能的关系数据库,允许你编写基于 SQL 的查询语句来洞察操作系统的数据。使用 osquery,SQL 表代表如下抽象概念:运行时的进程 加载内核模块开放网络连接 SQL 表通过一个简单的可扩展 API 实现,各种表已经存在并且还在不断增加。为了更好的理解 osquery,看看下面的 SQL 查询:-------------------------------------------------------- -- get the name, pid and attached port of all processes  -- which are listening on all interfaces -------------------------------------------------------- SELECT DISTINCT    process.name,    listening.port,    process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid WHERE listening.address = '0.0.0.0';-------------------------------------------------------- -- find every launchdaemon on an OS X host which  --   * launches an executable when the operating  --     system starts --   * keeps the executable running  -- return the name of the launchdaemon and the full  -- path (with arguments) of the executable to be ran. -------------------------------------------------------- SELECT    name,    program || program_arguments AS executable  FROM launchd  WHERE    (run_at_load = 'true' AND keep_alive = 'true')  AND    (program != '' OR program_arguments != '');这些查询可以:在特定条件下探索操作系统状态通过执行调度程序来监控操作系统的主机状态启动使用osquery api的自定义应用程序
osquery-extensions:按位跟踪的osquery扩展
02-03
osquery-extensions:按位跟踪的osquery扩展
开源项目-kolide-fleet.zip
10-17
开源项目-kolide-fleet.zip,fleet - osquery server built with go and go-kit
kolide-quickstart:[已弃用] Kolide工具的快速入门演示
05-16
创建该存储库是为了演示Kolide Fleet,然后再将其用作开源工具。 由于Fleet现在是开源的,因此请参阅以获取有关Fleet入门的信息。 Kolide快速入门演示 该存储库中的脚本和配置文件将使您能够快速启动并运行演示Kolide Fleet演示。 如果您想在不设置生产测试环境的情况下试用Fleet,那么此演示非常适合您。 有关安装生产Fleet环境的指导,请参阅。 我们可以帮助您处理此脚本,或在您的环境中部署Kolide。 您可以通过电子邮件或加入的与我们联系。 如果您想对该脚本做出贡献,可以打开一个或 。 依存关系 Bash兼容的Shell与标准的Unix命令 Git,或下载和解压缩这些脚本的方法 和 (默认在Mac和Windows上与Docker一起安装) 所有其他必需的依赖项都将通过此存储库中的脚本通过Docker安装。 最快的设置 git clone https:
Security:osquery 介绍
Elastic 中国社区官方博客
04-28 4210
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery将操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。 SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...
osq
qq_27212673的博客
12-07 2270
内核中的自旋锁 spin lock 常用 SMP 中保护短的临界区。当临界区别其他 CPU 占领时,当前 CPU 如果需要进入临界区,就会一直忙等,不会让出 CPU 。如果保护的临界区太大,忙等的消耗会很长,还不如放弃 CPU 让它做些其他事,这里主要考虑的是,忙等的代价应该小于放弃 CPU 付出的代价,具体使用时需要仔细斟酌。 对于现代 CPU 的设计,CPU 与内存的速度差距太大,为了发挥 ...
使用ee-outliers和Elasticsearch检测可疑子进程
systemino的博客
05-29 272
通过 ee-outliers 检测可疑子进程也是检测端点恶意活动一种非常有效的方法,例如: 检测调用 cmd.exe 的恶意 Microsoft Word 文档 检测电子邮件内嵌的 0-day exploit 在 Outlook 中利用 PowerShell 收集正确的数据 我们依赖于 osquery 来收集端点数据,使用以下查询定期收集有关我们要监控的工作站与服务器的所有信息。 ...
osquery进行基本的linux系统监控
04-24
Osquery是一款免费的开源安全工具,它能够将操作系统作为一个关系型数据库来管理和查询系统状态,从而提供有关系统性能、进程、网络连接等方面的信息,使得操作系统状态监控变得更为简单和高效。您可以使用osquery实现基本的linux系统监控,例如查看系统进程、网络连接、文件系统、用户登录信息等。如果您想了解更多有关osquery信息,可以查阅它的官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HeathXian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值