Osquery：使用SQL探索您的操作系统

> OSQUERY：使用SQL

的Facebook的开源系统检查工具

键突出显示：

> Facebook的Osquery利用SQL查询来检查OS X和Linux系统的状态。 此开源工具可在CentOS，Ubuntu和OS X上运行。
• Osquery以关系数据库格式呈现系统数据，简化了诸如港口冲突或无响应程序等问题的故障排除。
> 它为临时查询提供了
• （Interactive Console），以及跨多个计算机的计划数据聚合的
（守护程序）。 还支持自定义表创建。
• osqueryi>流浪配置简化了构建和测试Osquery软件包。安装涉及手动软件包构建和本地安装。 安装后，它将提供对系统信息的访问，例如运行过程，内核模块，网络连接，浏览器插件，硬件详细信息和文件哈希。osqueryd
• 最初，使用SQL查询操作系统的概念似乎是非常规的。但是，Osquery的公用事业很快就变得显而易见。此解释详细介绍了其优点，安装，并使用预配置的Vagrant框提供示例查询（对于没有直接OS X或Linux访问的人有用）。
>

功能：

OSQUERY 模拟关系数据库，提供以可查询SQL格式公开OS数据的“表”（不是传统数据库表）。这允许包括加入在内的复杂查询。 这简化了任务，例如确定由已停用的应用程序引起的端口冲突，更换手动过程列表搜索。 Osquery的跨平台兼容性将其使用扩展到生产服务器，开发环境和其他各种机器。 它的开源性质和容易获得的文档使其容易访问。 该项目积极添加新表格，解决了可用数据中的潜在差距。>

安装和用法：

Osquery提供了用于构建软件包的流浪配置。 由于其缺乏官方存储库，安装过程与标准软件包管理器安装（例如）偏离。 这些步骤涉及手动包装构建和本地安装。 让我们用ubuntu 14.04示例说明：

apt-get install

克隆，然后启动Vagrant框：

确保安装git，vagrant和virtualbox。然后：

1. 在虚拟环境中构建

   >

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

   ：
> ssh到vm（
2. ）中，然后：

   > （注意：Windows用户可能会遇到符号链接错误；重新运行vagrant ssh ubuntu14可能会解决此问题。）结果软件包（

   ）将在

   sudo su
   cd /vagrant
   ./tools/provision.sh
   make
   make package

   >中。

   provision.sh osquery-0.0.1-trusty.amd64.deb/vagrant/build/linux/>安装：

   使用
：

git clone https://github.com/facebook/osquery
cd osquery
vagrant up ubuntu14

然后可以将此文件复制并安装在其他Ubuntu 14.04机器上。 该过程适应其他受支持的操作系统。

.deb

>使用OSQUERY：
3. 访问Interactive Console（

   ）。 示例查询： osqueryi列出所有用户：

   • >识别缺少二进制的过程（潜在的恶意软件指示器）：SELECT * FROM users;
   >
   • 向用户及其组显示：SELECT name, path, pid FROM processes WHERE on_disk = 0;
   >
   • 查找空的组：SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
   • SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;
结论：

Osquery是Facebook的有价值的开源工具，它提供了一种基于SQL的独特系统检查方法。 它的应用程序涵盖系统监视，安全分析以及其他各种任务，使其成为系统管理员和安全专业人员的强大资产。

（注意：图像URL是占位符，如果要包含图像，则需要用实际的图像URL替换。）

以上是Osquery：使用SQL探索您的操作系统的详细内容。更多信息请关注PHP中文网其他相关文章！