OSQuery: Erforschen Sie Ihr Betriebssystem mit SQL

OSQuery: Das Open-Source-Systeminspektionstool von Facebook mit SQL

Schlüsselhighlights:

• Die OSQuery von Facebook nutzt SQL -Abfragen, um den Zustand der OS X- und Linux -Systeme zu inspizieren. Dieses Open-Source-Tool läuft auf CentOS, Ubuntu und OS X.
• OSQuery präsentiert Systemdaten in einem relationalen Datenbankformat und vereinfachte die Fehlerbehebung von Problemen wie Portkonflikten oder nicht reagierende Programme.
• Es bietet osqueryi (interaktive Konsole) für Ad-hoc-Abfragen und osqueryd (Daemon) für die geplante Datenaggregation über mehrere Maschinen hinweg. Die Erstellung von benutzerdefinierten Tabellen wird ebenfalls unterstützt.
• Eine Vagrant -Konfiguration vereinfacht das Erstellen und Testen des OSQuery -Pakets. Die Installation umfasst manuelles Paketbau und lokale Installation. Nach der Installation bietet es Zugriff auf Systeminformationen wie Ausführungsverfahren, Kernelmodule, Netzwerkverbindungen, Browser -Plugins, Hardwaredetails und Datei -Hashes.

Anfangs scheint das Konzept der Verwendung von SQL zur Abfrage eines Betriebssystems unkonventionell erscheint. Das Versorgungsunternehmen von Osquery wird jedoch schnell deutlich. Diese Erläuterung beschreibt die Vorteile, die Installation und liefert Beispielabfragen mit einem vorkonfigurierten Vagrant-Feld (nützlich für diejenigen ohne direkten OS X- oder Linux-Zugriff).

Funktionalität:

OSQuery simuliert eine relationale Datenbank und bietet "Tabellen" (nicht herkömmliche Datenbanktabellen), die Betriebssystemdaten in einem abgefragbaren SQL -Format enthüllen. Dies ermöglicht komplexe Abfragen, einschließlich Verbindungen. Dies vereinfacht die Aufgaben wie die Identifizierung eines durch eine nicht mehr existierenden Anwendung verursachten Portkonflikts und Ersatz für die manuelle Prozessliste. Die plattformübergreifende Kompatibilität von Osquery erweitert seine Verwendung auf Produktionserver, Entwicklungsumgebungen und verschiedene andere Maschinen. Die Open-Source-Natur und die leicht verfügbare Dokumentation machen es leicht zugänglich. Das Projekt fügt aktiv neue Tabellen hinzu, die potenzielle Lücken in den verfügbaren Daten behandeln.

Installation und Verwendung:

OSQuery bietet eine Vagabrant -Konfiguration für das Erstellen des Pakets. Der Installationsprozess weicht von Standard -Paket -Manager -Installationen (wie apt-get install) aufgrund seiner Abwesenheit durch offizielle Repositorys ab. Die Schritte umfassen manuelles Paketbau und lokale Installation. Lassen Sie uns mit einem Ubuntu 14.04 Beispiel veranschaulichen:

1. Klon und starten Sie das Vagrant -Box: Stellen Sie sicher, dass Git, Vagrant und VirtualBox installiert sind. Dann:

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

2. Erstellen Sie in der virtuellen Umgebung: ssh in die vm (vagrant ssh ubuntu14), dann:

   sudo su
   cd /vagrant
   ./tools/provision.sh
   make
   make package

   (Hinweis: Windows-Benutzer können auf Symlink-Fehler stoßen; neu das Running provision.sh kann dies beheben.) Das resultierende Paket (osquery-0.0.1-trusty.amd64.deb) befindet sich in /vagrant/build/linux/.

3. Installation: Verwenden Sie dpkg:

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

   Diese .deb -Datei kann dann auf anderen Ubuntu 14.04 -Maschinen kopiert und installiert werden. Der Prozess passt sich ähnlich für andere unterstützte Betriebssysteme an.

4. Verwenden von OSQuery: Zugriff auf die interaktive Konsole (osqueryi). Beispielabfragen:

   • Liste aller Benutzer: SELECT * FROM users;
   • identifizieren Sie Prozesse mit fehlenden Binärdateien (potenzieller Malware -Indikator): SELECT name, path, pid FROM processes WHERE on_disk = 0;
   • Benutzer und ihre Gruppen anzeigen: SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
   • Finden Sie leere Gruppen: SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;

Schlussfolgerung:

Osquery ist ein wertvolles Open-Source-Tool von Facebook, das einen einzigartigen SQL-basierten Ansatz für die Systeminspektion bietet. Die Anwendungen umfassen die Systemüberwachung, die Sicherheitsanalyse und verschiedene andere Aufgaben und machen es zu einem leistungsstarken Vorteil für Systemadministratoren und Sicherheitsexperten.

(Hinweis: Die Bild -URLs sind Platzhalter und müssen durch tatsächliche Bild -URLs ersetzt werden, wenn Bilder enthalten sind.)

Das obige ist der detaillierte Inhalt vonOSQuery: Erforschen Sie Ihr Betriebssystem mit SQL. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!