Инсталиране на Osquery в Ubuntu
Осквери пакетите не са налични в хранилището по подразбиране на Ubuntu, така че преди да го инсталираме, трябва да добавим Осквери apt хранилище, като изпълните следната команда в терминала.
[имейл защитен]: ~ $ echo "deb [arch = amd64] https: // pkg.осквери.io / deb deb main "|sudo tee / etc / apt / sources.списък.г / osquery.списък
Сега ще импортираме ключа за подписване, като изпълним следната команда в терминала.
[имейл защитен]: ~ $ sudo apt-key adv - keyserver keyserver.ubuntu.com--ключове за рев. 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
След като импортирате ключа за подписване, сега актуализирайте системата си, като изпълните следната команда в терминала.
[имейл защитен]: ~ $ sudo apt-get updateСега инсталирайте Осквери като изпълните следната команда
[имейл защитен]: ~ $ sudo apt-get install osqueryСлед инсталиране Осквери, сега трябва да проверим дали е инсталиран правилно, като изпълним следната команда
[имейл защитен]: ~ $ osqueryi --versionАко дава следния изход, значи е инсталиран правилно
Използване на Osquery
След инсталирането сме готови за употреба Осквери. Изпълнете следната команда, за да преминете към интерактивния ред на обвивката
[имейл защитен]: ~ $ osqueryi
Получаване на помощ
Сега можем да изпълняваме SQL базирани заявки, за да получаваме данни от операционната система. Можем да получим помощ относно Осквери като изпълните следната команда в интерактивната обвивка.
osquery> .помогне
Получаване на всички таблици
Както е споменато по-рано, Осквери излага данни от операционната система като релационна база данни, така че тя разполага с всички данни под формата на таблици. Можем да получим всички таблици, като изпълним следната команда в интерактивната обвивка
osquery> .таблици
Както виждаме, че като изпълним горната команда, можем да получим куп таблици. Сега можем да получаваме данни от тези таблици, като изпълняваме SQL базирани заявки.
Информация за списъка За всички потребители
Можем да видим цялата информация за потребителите, като изпълним следната команда в интерактивната обвивка
osquery> SELECT * FROM потребители;Горната команда ще покаже gid, uid, описание и т.н. на всички потребители
Също така можем да извлечем само съответните данни за потребителите, например искаме да виждаме само потребителите, а не друга информация за потребителите. Изпълнете следната команда в интерактивната обвивка, за да получите потребителските имена
osquery> ИЗБЕРЕТЕ потребителско име ОТ потребители;Горната команда ще покаже всички потребители във вашата система
По същия начин можем да получим потребителски имена заедно с директорията, в която съществува потребителят, като изпълним следната команда.
osquery> SELECT потребителско име, директория FROM потребители;
По същия начин можем да запитваме колкото полета искаме, като изпълняваме подобни команди.
Също така можем да получим всички данни на конкретни потребители. Например искаме да получим цялата информация за основния потребител. Можем да получим цялата информация за root потребителя, като изпълним следната команда.
osquery> SELECT * FROM потребители WHERE username = "root";
Също така можем да получим конкретни данни от конкретни полета (колони). Например искаме да получим идентификатора на групата и потребителското име на основния потребител. Изпълнете следната команда, за да получите тези данни.
osquery> ИЗБЕРЕТЕ потребителско име, gid ОТ потребители WHERE потребителско име = ”root”
По този начин можем да запитваме всичко, което искаме от таблица.
Изброяване на всички процеси
Можем да изброим първите пет процеса, работещи в ubuntu, като изпълним следната команда в интерактивната обвивка
osquery> SELECT * FROM процеси ГРАНИЦА 5;
Тъй като в системата се изпълняват много процеси, ние показахме само пет процеса с помощта на ключова дума LIMIT.
Можем да намерим идентификатора на процеса на конкретен процес, например искаме да намерим идентификатора на процеса на mongodb, така че ще изпълним следната команда в интерактивната обвивка
osquery> SELECT pid FROM процеси WHERE name = "mongod";
Намиране на версия на Ubuntu
Можем да намерим версията на нашата система Ubuntu, като изпълним следната команда в интерактивната обвивка
osquery> SELECT * FROM os_version;Ще ни покаже версията на нашата операционна система
Проверка на мрежови интерфейси и IP адреси
Можем да проверим IP адреса, маска на подмрежата на мрежовите интерфейси, като изпълним следната заявка в интерактивната обвивка.
osquery> ИНТЕРФЕЙС, интерфейс, адрес, маска ОТ интерфейса_адресиКЪДЕ интерфейсът НЕ ПОДОБАВА „% lo%“;
Проверка на влезли потребители
Също така можем да проверим влезлите потребители във вашата система, като поискаме данни от таблицата „logged_in_users“. Изпълнете следната команда, за да намерите влезли потребители.
osquery> ИЗБЕРЕТЕ потребител, хост, време ОТ logged_in_users WHERE tty NOT LIKE '-';
Проверка на системната памет
Също така можем да проверим Обща памет, свободна кеширана памет и т.н. чрез изпълнение на някаква SQL базирана команда в интерактивната обвивка. За да проверите общата памет, изпълнете следната команда. Това ще ни даде обща памет на системата в байтове.
osquery> SELECT memory_total FROM memory_info;
За да проверите свободната памет на вашата система, изпълнете следната заявка в интерактивната обвивка
osquery> ИЗБЕРЕТЕ паметта_без FROM memory_info;Когато изпълним горната команда, тя ще ни даде свободна памет, налична в нашата система
Също така можем да проверим кешираната памет на системата, използвайки таблицата memory_info, като изпълним следната заявка.
osquery> изберете кеширан от memory_info;
Изброяване на групите
Можем да намерим всички групи във вашата система, като изпълним следната заявка в интерактивната обвивка
osquery> SELECT * FROM групи;
Показване на слушане на портове
Можем да покажем всички портове за слушане на нашата система, като изпълним следната команда в интерактивната обвивка
osquery> SELECT * FROM liste_ports;
Също така можем да проверим дали даден порт слуша или не, като изпълним следната команда в интерактивната обвивка
osquery> SELECT порт, адрес FROM liste_ports WHERE порт = 27017;Това ще ни даде изход, както е показано на следващата фигура
Заключение
Осквери е много полезна софтуерна програма за намиране на всякакъв вид информация за вашата система. Ако вече сте запознати с SQL базирани заявки, тогава е много лесно да използвате за вас или ако не сте запознати с SQL базирани заявки, тогава се опитах с всички сили да ви покажа някои основни заявки, които са полезни за намиране на данни. Можете да намерите всякакъв вид данни от всяка таблица, като изпълните подобни заявки.