Osquery – бесплатная программа, с открытым исходным кодом, мощная и кросс-платформенная база данных для операционной системы, мониторинга и аналитики на базе SQL для Linux, FreeBSD, Windows и Mac OS X, созданная Facebook.
Это простой в использовании браузер для операционной системы.
Он объединяет ряд инструментов, которые выполняют низкоуровневую аналитику и мониторинг ОС; инструменты синтеза открывают операционной системы в виде реляционной базы данных высокой производительности: такие как MySQL / MariaDB, PostgreSQL и многое другое, где понятия OS представлены в табличной форме, что позволяет пользователям использовать SQL команд для выполнения мониторинга и аналитики системы.
Osquery использует простой API плагинов и расширений для реализации таблиц SQL, существует набор готовых к использованию таблиц, и все больше написано.
Некоторые таблицы можно найти только в определенной операционной системе, например, вы найдете только таблицу kernel_modules в системах Linux.
Кроме того, вы можете запускать оболочку osqueryi или на нескольких хостах в сети через планировщик или выполнять их из любых ваших пользовательских приложений с помощью API-интерфейсов osquery trift.
Как установить Osquery в Linux
Osquery можно установить из официального репозитория с помощью утилиты управления пакетами apt yum или dnf в вашем дистрибутиве Linux, как показано ниже.
На Debian / Ubuntu
$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' $ sudo apt update $ sudo apt install osquery
На RHEL / CentOS
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager --enable osquery-s3-rpm $ sudo yum install osquery On Fedora 22+
На Fedora 22+
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo dnf config-manager --set-enabled osquery-s3-rpm $ sudo dnf install osquery
Как контролировать и анализировать Linux с помощью Osquery
После того, как вы успешно установили Osquery в своей системе, запустите оболочку osqueryi, чтобы начать мониторинг состояния вашей ОС, как показано ниже
$ osqueryi Using a virtual database. Need help, type '.help' osquery>
Чтобы получить обобщенную информацию о системе Linux, выполните следующую команду….
osquery> SELECT * FROM system_info;
Чтобы получить хорошо сформированный список всех пользователей в системе Linux, выполните следующий запрос.
osquery> SELECT * FROM users;
Чтобы получить список всех модулей ядра и их статус, запустите следующий запрос.
osquery> SELECT * FROM kernel_modules;
Чтобы получить список всех установленных пакетов RPM в CentOS, RHEL и Fedora, выполните следующий запрос.
osquery> .all rpm_packages;
Чтобы получить информацию о запуске процессов Linux, выполните следующий запрос.
osquery SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Если вы работаете на рабочем столе и имеете Firefox или Chrome, вы можете вывести все свои дополнения, используя следующий запрос.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Чтобы отобразить список всех таблиц в Linux, используйте команду .tables, как показано.
osquery> .tables; #list all implemented tables osquery> .help; #view help message
Таким образом, Osquery обеспечивает мониторинг целостности файлов (FIM), а также функции аудита процессов и сокетов и многое другое, поэтому это инструмент обнаружения вторжений, но это требует определенных конфигураций.
Вы можете найти дополнительную информацию из репозитория Osquery Github.