使用Osquery跟蹤系統(tǒng)庫(kù)存數(shù)據(jù)

在最簡(jiǎn)單的形式中，osquery 由運(yùn)行在計(jì)算機(jī)上的守護(hù)進(jìn)程和客戶端組成。守護(hù)進(jìn)程根據(jù) osquery 配置文件收集有關(guān)主機(jī)的信息。配置文件告訴 osquery 要收集什么。數(shù)據(jù)存儲(chǔ)在該計(jì)算機(jī)本地的數(shù)據(jù)庫(kù)中。快速訪問此信息的最簡(jiǎn)單方法是運(yùn)行 osqueryi 二進(jìn)制文件。這將打開一個(gè)簡(jiǎn)單的命令行，您可以從中創(chuàng)建和運(yùn)行簡(jiǎn)單的 SQL 查詢以顯示有關(guān)系統(tǒng)的數(shù)據(jù)。

拿 osquery 來(lái)試駕是非常容易的。訪問 osquery.io 并下載適用于您想要的任何操作系統(tǒng)的軟件包。如果您運(yùn)行 Windows，您將下載 osquery.msi 并運(yùn)行它以將程序安裝到 c:Program Filesosquery。打開終端提示符，導(dǎo)航到該文件夾??并運(yùn)行 osqueryi.exe 以使用默認(rèn)配置啟動(dòng) osquery。使用此默認(rèn)配置，您可以立即查詢有關(guān)您系統(tǒng)的有趣數(shù)據(jù)，并讓您了解它的功能，然后您可以擴(kuò)展您的部署，使其最適合您的環(huán)境或組織。

在最基本的狀態(tài)下，您可以使用基本的 SQL 語(yǔ)法以交互方式查詢主機(jī)。例如，要顯示 Windows 計(jì)算機(jī)上正在運(yùn)行的服務(wù)的名稱，請(qǐng)運(yùn)行查詢：

osquery> SELECT display_name FROM services WHERE status='RUNNING';

Osquery 將相似的查詢組組織成包。默認(rèn)安裝中包含的包示例包括硬件監(jiān)控、it-compliance 和 osquery-monitoring。安全特定包還包括查詢，讓您可以搜索 Windows 和 Mac 攻擊以及 Windows 強(qiáng)化。這些查詢利用了操作系統(tǒng)的特定功能。例如，Windows 強(qiáng)化包包括在注冊(cè)表中查找可能導(dǎo)致安全性較低的配置的特定值的查詢。

Osquery 是一個(gè)可以詢問有關(guān)它正在監(jiān)控的系統(tǒng)的各種問題的地方。例如，您可以查詢已安裝的補(bǔ)?。?/font>