Osquery：使用SQL探索您的操作系統

> OSQUERY：使用SQL

的Facebook的開源系統檢查工具

鍵突出顯示：

> Facebook的Osquery利用SQL查詢來檢查OS X和Linux系統的狀態。 此開源工具可在CentOS，Ubuntu和OS X上運行。
• Osquery以關係數據庫格式呈現系統數據，簡化了諸如港口衝突或無響應程序等問題的故障排除。
> 它為臨時查詢提供了
• （Interactive Console），以及跨多個計算機的計劃數據聚合的
（守護程序）。 還支持自定義表創建。
• osqueryi>流浪配置簡化了構建和測試Osquery軟件包。安裝涉及手動軟件包構建和本地安裝。 安裝後，它將提供對系統信息的訪問，例如運行過程，內核模塊，網絡連接，瀏覽器插件，硬件詳細信息和文件哈希。 osqueryd
• 最初，使用SQL查詢操作系統的概念似乎是非常規的。但是，Osquery的公用事業很快就變得顯而易見。此解釋詳細介紹了其優點，安裝，並使用預配置的Vagrant框提供示例查詢（對於沒有直接OS X或Linux訪問的人有用）。
>

功能：

OSQUERY 模擬關係數據庫，提供以可查詢SQL格式公開OS數據的“表”（不是傳統數據庫表）。這允許包括加入在內的複雜查詢。 這簡化了任務，例如確定由已停用的應用程序引起的端口衝突，更換手動過程列表搜索。 Osquery的跨平台兼容性將其使用擴展到生產服務器，開發環境和其他各種機器。 它的開源性質和容易獲得的文檔使其容易訪問。 該項目積極添加新表格，解決了可用數據中的潛在差距。 >

安裝和用法：

Osquery提供了用於構建軟件包的流浪配置。 由於其缺乏官方存儲庫，安裝過程與標準軟件包管理器安裝（例如）偏離。 這些步驟涉及手動包裝構建和本地安裝。 讓我們用ubuntu 14.04示例說明：

apt-get install

克隆，然後啟動Vagrant框：

確保安裝git，vagrant和virtualbox。然後：

1. 在虛擬環境中構建

   >

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

   ：
> ssh到vm（
2. ）中，然後：

   > （注意：Windows用戶可能會遇到符號鏈接錯誤；重新運行vagrant ssh ubuntu14可能會解決此問題。）結果軟件包（

   ）將在

   sudo su
   cd /vagrant
   ./tools/provision.sh
   make
   make package

   >中。

   provision.sh osquery-0.0.1-trusty.amd64.deb/vagrant/build/linux/>安裝：

   使用
：

git clone https://github.com/facebook/osquery
cd osquery
vagrant up ubuntu14

然後可以將此文件複製並安裝在其他Ubuntu 14.04機器上。 該過程適應其他受支持的操作系統。

.deb

>使用OSQUERY：
3. 訪問Interactive Console（

   ）。 示例查詢： osqueryi列出所有用戶：

   • >識別缺少二進制的過程（潛在的惡意軟件指示器）：SELECT * FROM users;
   >
   • 向用戶及其組顯示：SELECT name, path, pid FROM processes WHERE on_disk = 0;
   >
   • 查找空的組：SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
   • SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;
結論：

Osquery是Facebook的有價值的開源工具，它提供了一種基於SQL的獨特系統檢查方法。 它的應用程序涵蓋系統監視，安全分析以及其他各種任務，使其成為系統管理員和安全專業人員的強大資產。

（注意：圖像URL是佔位符，如果要包含圖像，則需要用實際的圖像URL替換。）

以上是Osquery：使用SQL探索您的操作系統的詳細內容。更多資訊請關注PHP中文網其他相關文章！