搜索

首页 >科技周边 >IT业界 >Osquery:使用SQL探索您的操作系统

Osquery:使用SQL探索您的操作系统

Lisa Kudrow
Lisa Kudrow原创
2025-02-21 10:12:10750浏览

> OSQUERY:使用SQL

的Facebook的开源系统检查工具

键突出显示:

    > Facebook的Osquery利用SQL查询来检查OS X和Linux系统的状态。 此开源工具可在CentOS,Ubuntu和OS X上运行。
  • Osquery以关系数据库格式呈现系统数据,简化了诸如港口冲突或无响应程序等问题的故障排除。
    • > 它为临时查询提供了
  • (Interactive Console),以及跨多个计算机的计划数据聚合的
    • (守护程序)。 还支持自定义表创建。
  • osqueryi>流浪配置简化了构建和测试Osquery软件包。安装涉及手动软件包构建和本地安装。 安装后,它将提供对系统信息的访问,例如运行过程,内核模块,网络连接,浏览器插件,硬件详细信息和文件哈希。osqueryd
  • 最初,使用SQL查询操作系统的概念似乎是非常规的。但是,Osquery的公用事业很快就变得显而易见。此解释详细介绍了其优点,安装,并使用预配置的Vagrant框提供示例查询(对于没有直接OS X或Linux访问的人有用)。
    • >

功能:

OSQUERY 模拟关系数据库,提供以可查询SQL格式公开OS数据的“表”(不是传统数据库表)。这允许包括加入在内的复杂查询。 这简化了任务,例如确定由已停用的应用程序引起的端口冲突,更换手动过程列表搜索。 Osquery的跨平台兼容性将其使用扩展到生产服务器,开发环境和其他各种机器。 它的开源性质和容易获得的文档使其容易访问。 该项目积极添加新表格,解决了可用数据中的潜在差距。>

安装和用法:

Osquery提供了用于构建软件包的流浪配置。 由于其缺乏官方存储库,安装过程与标准软件包管理器安装(例如)偏离。 这些步骤涉及手动包装构建和本地安装。 让我们用ubuntu 14.04示例说明:

apt-get install

克隆,然后启动Vagrant框:
    确保安装git,vagrant和virtualbox。然后:

  1. 在虚拟环境中构建

    > 
    <code class="language-bash">git clone https://github.com/facebook/osquery
cd osquery
vagrant up ubuntu14</code>
    2. > ssh到vm(
  2. )中,然后:

    > (注意:Windows用户可能会遇到符号链接错误;重新运行vagrant ssh ubuntu14可能会解决此问题。)结果软件包(

    )将在
    <code class="language-bash">sudo su
cd /vagrant
./tools/provision.sh
make
make package</code>
    >中。

    provision.sh osquery-0.0.1-trusty.amd64.deb/vagrant/build/linux/>安装:

    使用
    3. <code class="language-bash">git clone https://github.com/facebook/osquery
cd osquery
vagrant up ubuntu14</code>
    然后可以将此文件复制并安装在其他Ubuntu 14.04机器上。 该过程适应其他受支持的操作系统。

    .deb

    >使用OSQUERY:
  3. 访问Interactive Console(

    )。 示例查询: osqueryi列出所有用户:

    • >识别缺少二进制的过程(潜在的恶意软件指示器):SELECT * FROM users;
      • >
    • 向用户及其组显示:SELECT name, path, pid FROM processes WHERE on_disk = 0;
      • >
    • 查找空的组:SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
    • SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;
    4. 结论:
Osquery是Facebook的有价值的开源工具,它提供了一种基于SQL的独特系统检查方法。 它的应用程序涵盖系统监视,安全分析以及其他各种任务,使其成为系统管理员和安全专业人员的强大资产。

OSQuery: Explore your OS with SQL (注意:图像URL是占位符,如果要包含图像,则需要用实际的图像URL替换。)

以上是Osquery:使用SQL探索您的操作系统的详细内容。更多信息请关注PHP中文网其他相关文章!

sql NULL if for select format using console this table git windows database linux ubuntu centos ssh vagrant Access Other
声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
上一篇:Integrating VictorOps with Salesforce Using its REST Endpoint下一篇:Content Research: The Power of User Interviews

相关文章

查看更多