> OSQUERY：使用SQL

的Facebook的開源系統(tǒng)檢查工具

鍵突出顯示：

> Facebook的Osquery利用SQL查詢來檢查OS X和Linux系統(tǒng)的狀態(tài)。 此開源工具可在CentOS，Ubuntu和OS X上運(yùn)行。
• Osquery以關(guān)系數(shù)據(jù)庫格式呈現(xiàn)系統(tǒng)數(shù)據(jù)，簡化了諸如港口沖突或無響應(yīng)程序等問題的故障排除。
> 它為臨時查詢提供了
• （Interactive Console），以及跨多個計(jì)算機(jī)的計(jì)劃數(shù)據(jù)聚合的
（守護(hù)程序）。 還支持自定義表創(chuàng)建。
• osqueryi>流浪配置簡化了構(gòu)建和測試Osquery軟件包。安裝涉及手動軟件包構(gòu)建和本地安裝。 安裝后，它將提供對系統(tǒng)信息的訪問，例如運(yùn)行過程，內(nèi)核模塊，網(wǎng)絡(luò)連接，瀏覽器插件，硬件詳細(xì)信息和文件哈希。osqueryd
• 最初，使用SQL查詢操作系統(tǒng)的概念似乎是非常規(guī)的。但是，Osquery的公用事業(yè)很快就變得顯而易見。此解釋詳細(xì)介紹了其優(yōu)點(diǎn)，安裝，并使用預(yù)配置的Vagrant框提供示例查詢（對于沒有直接OS X或Linux訪問的人有用）。
>

功能：

OSQUERY 模擬關(guān)系數(shù)據(jù)庫，提供以可查詢SQL格式公開OS數(shù)據(jù)的“表”（不是傳統(tǒng)數(shù)據(jù)庫表）。這允許包括加入在內(nèi)的復(fù)雜查詢。 這簡化了任務(wù)，例如確定由已停用的應(yīng)用程序引起的端口沖突，更換手動過程列表搜索。 Osquery的跨平臺兼容性將其使用擴(kuò)展到生產(chǎn)服務(wù)器，開發(fā)環(huán)境和其他各種機(jī)器。 它的開源性質(zhì)和容易獲得的文檔使其容易訪問。 該項(xiàng)目積極添加新表格，解決了可用數(shù)據(jù)中的潛在差距。>

安裝和用法：

Osquery提供了用于構(gòu)建軟件包的流浪配置。 由于其缺乏官方存儲庫，安裝過程與標(biāo)準(zhǔn)軟件包管理器安裝（例如）偏離。 這些步驟涉及手動包裝構(gòu)建和本地安裝。 讓我們用ubuntu 14.04示例說明：

apt-get install

克隆，然后啟動Vagrant框：

確保安裝git，vagrant和virtualbox。然后：

1. 在虛擬環(huán)境中構(gòu)建

   >

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

   ：
> ssh到vm（
2. ）中，然后：

   > （注意：Windows用戶可能會遇到符號鏈接錯誤；重新運(yùn)行vagrant ssh ubuntu14可能會解決此問題。）結(jié)果軟件包（

   ）將在

   sudo su
   cd /vagrant
   ./tools/provision.sh
   make
   make package

   >中。

   provision.sh osquery-0.0.1-trusty.amd64.deb/vagrant/build/linux/>安裝：

   使用
：

git clone https://github.com/facebook/osquery
cd osquery
vagrant up ubuntu14

然后可以將此文件復(fù)制并安裝在其他Ubuntu 14.04機(jī)器上。 該過程適應(yīng)其他受支持的操作系統(tǒng)。

.deb

>使用OSQUERY：
3. 訪問Interactive Console（

   ）。 示例查詢： osqueryi列出所有用戶：

   • >識別缺少二進(jìn)制的過程（潛在的惡意軟件指示器）：SELECT * FROM users;
   >
   • 向用戶及其組顯示：SELECT name, path, pid FROM processes WHERE on_disk = 0;
   >
   • 查找空的組：SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
   • SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;
結(jié)論：

Osquery是Facebook的有價值的開源工具，它提供了一種基于SQL的獨(dú)特系統(tǒng)檢查方法。 它的應(yīng)用程序涵蓋系統(tǒng)監(jiān)視，安全分析以及其他各種任務(wù)，使其成為系統(tǒng)管理員和安全專業(yè)人員的強(qiáng)大資產(chǎn)。

（注意：圖像URL是占位符，如果要包含圖像，則需要用實(shí)際的圖像URL替換。）

以上是Osquery：使用SQL探索您的操作系統(tǒng)的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！