osquery使用总结

最新推荐文章于 2022-04-28 20:54:09 发布
最新推荐文章于 2022-04-28 20:54:09 发布
阅读量507 收藏
点赞数
文章标签: 运维
原文链接:https://my.oschina.net/100asker/blog/1541762
版权

一、测试环境

vmware centos7.0 4G内存  200G硬盘

192.168.72.238  host198
192.168.72.239  host199
192.168.72.240  host200

二、配置文件

vi /etc/osquery/osquery.conf  如下:

{
  "options": {
    "config_plugin": "filesystem",
    "logger_plugin": "filesystem",
    "logger_path": "/var/log/osquery",
    "pidfile": "/var/osquery/osquery.pidfile",
    "worker_threads": "2",
    "enable_monitor": "true"
  },

  "schedule": {
    "path1": {
      "query": "select 'file_metric' metric,path,type,blocks,blocks_free from mounts where type='xfs' and path='/' and blocks!=0;",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "path2": {
      "query": "select 'file_metric' metric,path,type,blocks,blocks_free from mounts where type='xfs' and path='/home' and blocks!=0;",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "path3": {
      "query": "select 'file_metric' metric,path,type,blocks,blocks_free from mounts where type='xfs' and path='/boot' and blocks!=0;",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "load1": {
      "query": "select 'file_metric' metric,path,type,blocks,blocks_free from mounts where type='xfs' and path='/boot' and blocks!=0;",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "load1": {
      "query": "select 'file_metric' metric,path,type,blocks,blocks_free from mounts where type='xfs' and path='/boot' and blocks!=0;",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "load1": {
      "query": "select 'load_metric' metric,period,average from load_average where period='1m';",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "load2": {
      "query": "select 'load_metric' metric,period,average from load_average where period='5m';",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "load3": {
      "query": "select 'load_metric' metric,period,average from load_average where period='15m';",
      "interval": 60,
      "removed": false,
      "snapshot": true
    },
    "memory": {
      "query": "select memory_total,memory_free,swap_cached,active from memory_info;",
      "interval": 60,
      "removed": false,
      "snapshot": true
    }
  },
  "decorators": {
    "always": [
      "select unix_time from time;"
    ]
  }
}

三、问题记录

  1. 无法将内存、cpu、磁盘、负载监控集中输出至一条信息中。
  2. 当采集的机器很多时,无法做排序,给肉眼(特傻的方法)测试,延迟较大(超过20s)。
  3. 日志如何归档?

   优点:

      可以简单使用查询服务器内存、cpu、磁盘、负载信息。我个人常用的sql如下:     

select period,average from load_average;

select memory_total,memory_free,swap_cached,active from memory_info;

select path,type,blocks,blocks_free from mounts where blocks!=0;

四、参考资料

http://www.cnblogs.com/xuxinkun/tag/osquery/

转载于:https://my.oschina.net/100asker/blog/1541762

chiludi3395
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS 7 安装osquery监控系统
静静是我女朋友
11-10 6642
osquery 简介 osquery是一个SQL驱动操作系统检测和分析工具。osquery支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。它使得底层操作系统分析和监控性能更加直观 项目主页:http://osquery.io/ 代码托管地址:https://github.com/facebook/osquer osquery 安装[root@linuxprobe~]# y
【系统审计】osquery的安装与使用
没枕头我咋睡觉
10-19 4086
1 介绍 2 安装: 下载地址:https://osquery.io/downloads/official/4.5.1 在根目录/下面解压 工具目录结构 2 启动
Elasticsearch:使用 osquery 和 Elastic Stack 来监控你的端点
Elastic 中国社区官方博客
04-28 2101
Osquery 是一个开源工具,可让你像数据库一样查询操作系统,从而为你提供对基础架构和操作系统的可见性。 使用基本的 SQL 命令,你可以询问有关设备的问题,例如服务器、Docker 容器以及运行 Linux、macOS 或 Windows 的计算机。 广泛的架构有助于处理各种用例,包括漏洞检测、合规性监控、事件调查等。 使用 Kibana 中的 Osquery,你可以: 为一个或多个代理运行实时查询 安排查询包以捕获操作系统状态随时间的变化 查看过去查询的历史记录及其结果 保存查询并为特定用例
osquery
jianminHuang的博客
05-28 237
osquery,查询操作系统信息。把操作系统当作数据库,使用sql来查询操作系统相关信息。 ./osqueryi 进入查询命令提示符界面 输入命令 select * from os_version 输入命令 .tables .exit 参考: https://osquery.readthedocs.io/en/stable/ https://osquery.io/downloads/official/4.8.0 https://blog.csdn...
初识osquery
weixin_30787531的博客
09-16 716
初识osquery osquery是一个由Facebook的开源用于对系统进行查询,监控以及分析的一款软件. osquery对其的说明如下: osquery将操作系统公开为高性能关系数据库。这允许您编写基于SQL的查询来探索操作系统数据。使用osquery,SQL表表示抽象概念,例如运行进程,加载的内核模块,开放网络连接,浏览器插件,硬件事件或文件哈希。 目前网上已经有非常多的相关资料供...
04_osquery_osqueryd的使用
田一一
12-03 890
04_osquery_osqueryd的使用1. osqueryd1.1. osquery.conf文件1.2. options1.3. schedule1.4. decorators1.5. packs2. 运行osqueryd 1. osqueryd 在装好osquery之后,osqueryd会以service的方式存在于系统中,所以可以利用systemctl的方式进行控制,其文件位于(Linux系统)/usr/lib/systemd/system/osqueryd.service。 1.1. osq
OSQuery_osquery_
09-29
**osquery:洞察系统运行状态的强大工具** osquery是一款开源的、强大的系统监控和取证工具,它提供了一个SQL接口来查询操作系统数据。由Facebook开发并维护,osquery旨在使系统管理员和安全专业人员能够轻松地获取...
OSQUERY实战.pdf
08-08
Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。 作为一个web渗透转型二进制的安全工程师,他很感慨的说:“人生不要给自己设限”。他一边详细阐述Osquery的原理...
osquery-4.5.1.msi
12-03
osquery4.5.1.msi.Windowsd安装版本, 下载后,可直接安装,运行osqueryi。即可使用功能。
osquery_windows环境编译的工具
12-04
cmake-3.19.1-win64-x64.msi、 Git-2.29.2.2-64-bit .exe、 python-3.8.1-amd64.exe、 strawberry-perl-5.30.2.1-64bit.msi、vs_buildtools__714742803.1589532331.exe、vs_...osquery-git-2020-12-04.rar、 wix311.exe
osquery-starter-kit:用于基于源CLI的osquery管理工作流的入门工具包
05-15
当您开始使用osquery时,可能很难弄清楚如何收集尽可能多的高质量开源情报,并将其与您自己的自定义查询包一起部署到您的舰队中。 为了实现此目标, 支持命令行工作流程,用于通过源代码控制的,经过代码审核的文件...
使用 OSquery 和 YARA 进行审计
weixin_43520214的博客
03-20 2610
网络安全:使用 OSquery 和 YARA 进行审计
【系统审计】 采集osquery输出发送到kafka
没枕头我咋睡觉
12-16 462
/* 参考github地址 https://github.com/segmentio/kafka-go https://github.com/kolide/osquery-go 脚本启动示例:go run testQuery.go /root/.osquery/shell.em "select * from sudoers;" */ package main import ( "fmt" "context" "os" "time" .
osquery简单试用
weixin_34122548的博客
04-14 1500
备注:  osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控 1. 安装 参考 https://osquery.io/downloads/official/2.11.2 我使用的是centos 使用rpm 包安装 wget https://pkg.osquery.io/rpm/osquery-2.11.2-...
osquery 查询系统信息
thinker
06-26 1075
说明 本文是一篇翻译稿,原文是:https://blog.kolide.com/osquery-under-the-hood-c1a8df46bb7a 在4年的时间里,有243个贡献者一共提交了4573个commit,为osquery的发展作出了贡献。osquery是一个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行一个简要的介绍。 本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架
windows api判断过滤驱动是否安装_如何使用osquery在Windows上实时监控文件?
weixin_39906358的博客
11-24 407
Osquery是一个SQL驱动操作系统检测和分析工具,它由Facebook创建,支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。Osquery是一个多平台软件,可以安装在Linux,Windows,MacOS和FreeBSD上。它允许我们使用基于SQL的查询来处理操作系统的配置文件、性能、安全检查等。加密安全团队TrailofBits开发了一个ntfs_j...
osquery的认识
墨痕诉清风的博客
11-15 991
说明 osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
kibana Osquery Manager
最新发布
06-10
2. 集中管理 Osquery 配置:可以使用 Kibana Osquery Manager 来集中管理 Osquery 的配置文件,并自动推送配置变更到 Osquery 客户端。 3. 视图和查询 Osquery 数据:可以使用 Kibana 和 Elasticsearch 的强大搜索和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值