OSQuery: Explorez votre système d'exploitation avec SQL

OSQuery: l'outil d'inspection du système open source de Facebook à l'aide de SQL

Faits saillants de la clé:

• OSQuery de Facebook exploite les requêtes SQL pour inspecter l'état des systèmes OS X et Linux. Cet outil open source fonctionne sur Centos, Ubuntu et Os X.
• OSQuery présente les données système dans un format de base de données relationnel, simplifiant le dépannage de problèmes tels que les conflits de port ou les programmes non réactifs.
• Il offre osqueryi (console interactive) pour les requêtes ad hoc et osqueryd (démon) pour l'agrégation de données planifiée sur plusieurs machines. La création de table personnalisée est également prise en charge.
• Une configuration Vagrant simplifie la construction et le test du package OSQuery. L'installation implique la construction de packages manuels et l'installation locale. Une fois installé, il donne accès à des informations système telles que les processus en cours d'exécution, les modules de noyau, les connexions réseau, les plugins de navigateur, les détails matériels et les hachages de fichiers

Initialement, le concept d'utilisation de SQL pour interroger un système d'exploitation peut sembler non conventionnel. Cependant, l'utilité d'Osquery devient rapidement apparente. Cette explication détaille ses avantages, ses installations et fournit des exemples de requêtes à l'aide d'une boîte Vagrant préconfigurée (utile pour celles sans accès direct OS X ou Linux).

Fonctionnalité:

OSQuery simule une base de données relationnelle, offrant des "tables" (non des tables de base de données traditionnelles) qui exposent les données du système d'exploitation dans un format SQL interrogable. Cela permet des requêtes complexes, y compris les jointures. Cela simplifie des tâches comme l'identification d'un conflit de port causée par une application disparue, en remplacement des recherches de liste de processus manuelles. La compatibilité multiplateforme d'OsQuery étend son utilisation aux serveurs de production, aux environnements de développement et à diverses autres machines. Sa nature open source et sa documentation facilement disponible le rendent facilement accessible. Le projet ajoute activement de nouvelles tables, en rédigeant les lacunes potentielles dans les données disponibles.

Installation et utilisation:

OSQuery fournit une configuration vagabond pour la construction du package. Le processus d'installation s'écarte des installations standard des gestionnaires de packages (comme apt-get install) en raison de son absence des référentiels officiels. Les étapes impliquent la construction de packages manuels et l'installation locale. Illustrons avec un exemple Ubuntu 14.04:

1. Clone et démarrez la boîte Vagrant: Assurez-vous que Git, Vagrant et VirtualBox sont installés. Alors:

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

2. Builler dans l'environnement virtuel: ssh dans le VM (vagrant ssh ubuntu14), alors:

   sudo su
   cd /vagrant
   ./tools/provision.sh
   make
   make package

   (Remarque: les utilisateurs de Windows peuvent rencontrer des erreurs de liaison systématique; la relance provision.sh peut résoudre ce problème.) Le package résultant (osquery-0.0.1-trusty.amd64.deb) sera dans /vagrant/build/linux/.

3. Installation: Utiliser dpkg:

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

   Ce fichier .deb peut ensuite être copié et installé sur d'autres machines Ubuntu 14.04. Le processus s'adapte de la même manière pour d'autres systèmes d'exploitation pris en charge.

4. en utilisant OSQuery: Accédez à la console interactive (osqueryi). Exemples de requêtes:

   • Répertoriez tous les utilisateurs: SELECT * FROM users;
   • Identifier les processus avec des binaires manquants (indicateur potentiel de logiciels malveillants): SELECT name, path, pid FROM processes WHERE on_disk = 0;
   • Afficher les utilisateurs et leurs groupes: SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
   • Trouver des groupes vides: SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;

Conclusion:

OSQuery est un précieux outil open-source de Facebook, offrant une approche unique basée sur SQL pour l'inspection du système. Ses applications couvrent la surveillance du système, l'analyse de la sécurité et diverses autres tâches, ce qui en fait un actif puissant pour les administrateurs système et les professionnels de la sécurité.

(Remarque: Les URL de l'image sont des espaces réservées et doivent être remplacées par des URL d'image réelles si les images doivent être incluses.)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!