osquery简单试用

最新推荐文章于 2023-04-28 16:34:26 发布
最新推荐文章于 2023-04-28 16:34:26 发布
阅读量1.5k 收藏
点赞数
文章标签: java 操作系统 数据库

备注:

 osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控

1. 安装

参考 https://osquery.io/downloads/official/2.11.2
我使用的是centos 使用rpm 包安装

wget https://pkg.osquery.io/rpm/osquery-2.11.2-1.linux.x86_64.rpm

yum install -y osquery-2.11.2-1.linux.x86_64.rpm
 
2. 基本使用 
a. 简单sql

osqueryi

比如我要查询系统的用户

select * from users;

b. 查看系统的表

.table

=> acpi_tables
  => apt_sources
  => arp_cache
  => augeas
  => authorized_keys
  => block_devices
  => carbon_black_info
  => carves
  => chrome_extensions
  => cpu_time
  => cpuid
  => crontab
  => curl
  => curl_certificate
  => deb_packages
  => device_file
  => device_hash
  => device_partitions
  => disk_encryption
  => dns_resolvers
  => docker_container_labels
  => docker_container_mounts
  => docker_container_networks
  => docker_container_ports
  => docker_container_processes
  => docker_container_stats
  => docker_containers
  => docker_image_labels
  => docker_images
  => docker_info
  => docker_network_labels
  => docker_networks
  => docker_version
  => docker_volume_labels
  => docker_volumes
  => ec2_instance_metadata
  => ec2_instance_tags
  => etc_hosts
  => etc_protocols
  => etc_services
  => file
  => file_events
  => firefox_addons
  => groups
  => hardware_events
  => hash
  => intel_me_info
  => interface_addresses
  => interface_details
  => iptables
  => kernel_info
  => kernel_integrity
  => kernel_modules
  => known_hosts
  => last
  => listening_ports
  => lldp_neighbors
  => load_average
  => logged_in_users
  => magic
  => md_devices
  => md_drives
  => md_personalities
  => memory_info
  => memory_map
  => mounts
  => msr
  => opera_extensions
  => os_version
  => osquery_events
  => osquery_extensions
  => osquery_flags
  => osquery_info
  => osquery_packs
  => osquery_registry
  => osquery_schedule
  => pci_devices
  => platform_info
  => portage_keywords
  => portage_packages
  => portage_use
  => process_envs
  => process_events
  => process_memory_map
  => process_open_files
  => process_open_sockets
  => processes
  => prometheus_metrics
  => python_packages
  => routes
  => rpm_package_files
  => rpm_packages
  => shadow
  => shared_memory
  => shell_history
  => smbios_tables
  => socket_events
  => startup_items
  => sudoers
  => suid_bin
  => syslog_events
  => system_controls
  => system_info
  => time
  => uptime
  => usb_devices
  => user_events
  => user_groups
  => user_ssh_keys
  => users
  => yara
  => yara_events

c.  查看表schema

.schema table_name 
比如:
.schema users

.schema users
CREATE TABLE users(`uid` BIGINT, `gid` BIGINT, `uid_signed` BIGINT, `gid_signed` BIGINT, `username` TEXT, `description` TEXT, `directory` TEXT, `shell` TEXT, `uuid` TEXT, `type` TEXT HIDDEN, PRIMARY KEY (`uid`, `username`)) WITHOUT ROWID;

备注:就是写sql,实际需要的就是查询对应表的数据,很强很大,同时基本主流操作系统都支持
 
3. 几个小技巧 
修改模式
.mode line 类似mysql  \G
.table  系统表
.schema  表结构
 
 
4. 参考资料 
https://osquery.io/
 
 
 
 
 
weixin_34122548
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
osquery的认识
墨痕诉清风的博客
11-15 991
说明 osquery是一个由FaceBook开源用于对系统进行查询、监控以及分析的一款软件。osquery对其的说明如下: osquery exposes an operating system as a high-performance relational database. This allows you to write SQL-based queries to explore operating system data. With osquery, SQL tables represent
【系统审计】osquery的安装与使用
没枕头我咋睡觉
10-19 4086
1 介绍 2 安装: 下载地址:https://osquery.io/downloads/official/4.5.1 在根目录/下面解压 工具目录结构 2 启动
最后防线:三款开源HIDS应用对比评估
debugeeker的专栏
04-16 1110
本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景。 简介 Wazuh:一款免费、开源的企业级安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。 Osquery: 用于Windows、OS X(MacOS)、Linux和FreeBSD的操作系统工具框架, 使低级操作系统分析和监控既有性能又直观。 AgentSmith: 一个基于云本地主机的入侵检测解决方案项目,旨在通过现代架构提供下一代威胁检测和行为.
如何使用osquery在Windows上实时监控文件?
2301_77157449的博客
04-28 1412
Windows上的文件监控方法通常分为以下三种:Win32/WinAPI接口:FindFirstChangeNotification, ReadDirectoryChangesW;文件系统过滤器驱动程序和Minifilter,所谓的Minifilter其实就是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。
Security:osquery 介绍
Elastic 中国社区官方博客
04-28 4090
osquery 是适用于 Windows、OS X (macOS) 和 Linux 的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。 osquery操作系统公开为高性能关系数据库。 这允许你编写基于 SQL 的查询来探索操作系统数据。 使用 osquery,SQL 表表示抽象概念,例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。 SQL 表是通过一个简单的插件和扩展 API 实现的。 已经存在各种表,并且正在编写更多表:https://osqu...
使用 OSquery 和 YARA 进行审计
weixin_43520214的博客
03-20 2610
网络安全:使用 OSquery 和 YARA 进行审计
OSQuery_osquery_
09-29
1. **SQL接口**:osquery的SQL接口使得查询操作系统数据变得简单直观,对熟悉SQL的用户来说,学习成本较低。 2. **多平台支持**:osquery支持多种操作系统,包括Linux、macOS和Windows,这使得它成为跨平台监控的...
OSQUERY实战.pdf
08-08
Osquery是一个开源的全平台的信息采集软件,全平台意味着它能够适配于Windows,Linux,Mac,Ios,Andriod,并能够通过非常简单Query语句进行系统信息查询,所以被广泛用于运维、监控,而由于其监控能力的丰富,也...
osquery-4.5.1.msi
12-03
osquery4.5.1.msi.Windowsd安装版本, 下载后,可直接安装,运行osqueryi。即可使用功能。
osquery_windows环境编译的工具
12-04
cmake-3.19.1-win64-x64.msi、 Git-2.29.2.2-64-bit .exe、 python-3.8.1-amd64.exe、 strawberry-perl-5.30.2.1-64bit.msi、vs_buildtools__714742803.1589532331.exe、vs_...osquery-git-2020-12-04.rar、 wix311.exe
OSQuery
03-12
OSQuery
操作系统监控工具osquery.zip
07-19
osquery 是 SQL 驱动的分析和监控操作系统的工具,是操作系统分析框架,支持 OS X 和 Linux 系统。osquery 能帮助监控和分析低水平的操作系统,提供更直观的性能监控。osquery操作系统中就像是一个高性能的关系数据库,允许你编写基于 SQL 的查询语句来洞察操作系统的数据。使用 osquery,SQL 表代表如下抽象概念:运行时的进程 加载内核模块开放网络连接 SQL 表通过一个简单的可扩展 API 实现,各种表已经存在并且还在不断增加。为了更好的理解 osquery,看看下面的 SQL 查询:-------------------------------------------------------- -- get the name, pid and attached port of all processes  -- which are listening on all interfaces -------------------------------------------------------- SELECT DISTINCT    process.name,    listening.port,    process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid WHERE listening.address = '0.0.0.0';-------------------------------------------------------- -- find every launchdaemon on an OS X host which  --   * launches an executable when the operating  --     system starts --   * keeps the executable running  -- return the name of the launchdaemon and the full  -- path (with arguments) of the executable to be ran. -------------------------------------------------------- SELECT    name,    program || program_arguments AS executable  FROM launchd  WHERE    (run_at_load = 'true' AND keep_alive = 'true')  AND    (program != '' OR program_arguments != '');这些查询可以:在特定条件下探索操作系统状态通过执行调度程序来监控操作系统的主机状态启动使用osquery api的自定义应用程序
osquery-hids:Launchd 守护进程,通过咆哮报告主要的 OSX 修改
06-23
#osquery-hids 这是使用 osqueryOSX hids 概念证明。 这是: 一个launchd守护进程 一个简单的咆哮通知器 一个 osquery 配置 它需要: 操作系统 咆哮(接受连接) 它监视启动项更改、内核扩展更改和启动项更改。 它没有列举所有已知的恶意软件位置,但确实涵盖了最常见的位置。 参见: : ##Install 不要带着任何对安全的大期望来安装它。 糟透了。 建造更好的东西! 安装 osquery(守护进程) 安装咆哮并配置为登录时启动。 安装growlnotify 将 osquery-hids plist 放入/System/Library/LaunchDaemons 将配置放入/var/osquery/ ,相应地编辑路径 将他们性感的标志放入/var/osquery/ 重启或sudo launchctl load /Syst
windows api判断过滤驱动是否安装_如何使用osquery在Windows上实时监控文件?
weixin_39906358的博客
11-24 407
Osquery是一个SQL驱动操作系统检测和分析工具,它由Facebook创建,支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统Osquery是一个多平台软件,可以安装在Linux,Windows,MacOS和FreeBSD上。它允许我们使用基于SQL的查询来处理操作系统的配置文件、性能、安全检查等。加密安全团队TrailofBits开发了一个ntfs_j...
CentOS 7 安装osquery监控系统
静静是我女朋友
11-10 6642
osquery 简介 osquery是一个SQL驱动操作系统检测和分析工具。osquery支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。它使得底层操作系统分析和监控性能更加直观 项目主页:http://osquery.io/ 代码托管地址:https://github.com/facebook/osquer osquery 安装[root@linuxprobe~]# y
最后防线:osquery功能与实现
debugeeker的专栏
03-07 818
开源HIDS osquery的主机监控功能和实现原理。 osquery代码链接:osquery osquery表结构:表结构 本文是在安装它之后,从osqueryi中的表再调研代码来获取它的实现 设备基线 对系统使用的设备建立基线,从而发现故障的设备,用于IDC机房。不足之处:这些功能用于传统机房。对于云时代并不适用 功能 实现原理 acpi设备 读取/sys/firmware/acpi/tables目录 块设备 通过调用udev库API读取 设备信息(设备...
初识osquery
weixin_30787531的博客
09-16 716
初识osquery osquery是一个由Facebook的开源用于对系统进行查询,监控以及分析的一款软件. osquery对其的说明如下: osquery操作系统公开为高性能关系数据库。这允许您编写基于SQL的查询来探索操作系统数据。使用osquery,SQL表表示抽象概念,例如运行进程,加载的内核模块,开放网络连接,浏览器插件,硬件事件或文件哈希。 目前网上已经有非常多的相关资料供...
查询一个消息队列的状态,OSQQuery()
FunkyFrog821951259的博客
04-16 1729
OSQQuery()函数使用户可以查询一个消息队列的当前状态。程序清单 L6.27是该函数的源代码。OSQQuery()需要两个参数:一个是指向消息队列的指针pevent。它是在建立一个消息队列时,由OSQCreate()函数返回的;另一个是指向OS_Q_DATA(见uCOS_II.H)数据结构的指针pdata。该结构包含了有关消息队列的信息。在调用OSQQuery()函数之前,必须先定义该数据结
kibana Osquery Manager
最新发布
06-10
Kibana Osquery Manager 是一个开源的工具,用于管理和监控 Osquery(一个跨平台的主机审计框架)的部署和配置。Kibana Osquery Manager 可以与 Kibana 和 Elasticsearch 集成,提供一个可视化的界面来管理和监控 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值