Ubuntu

Как да инсталирате и използвате Osquery в Ubuntu

Как да инсталирате и използвате Osquery в Ubuntu
Осквери е софтуерна програма с отворен код и междуплатформена програма, която може да се използва за излагане на операционна система като релационна база данни. Можем да получим данни от операционната система, като стартираме SQL базирани заявки. В този блог ще видим как да инсталираме Осквери в Ubuntu и как да го използвате, за да получите данни от операционната система.

Инсталиране на Osquery в Ubuntu

Осквери пакетите не са налични в хранилището по подразбиране на Ubuntu, така че преди да го инсталираме, трябва да добавим Осквери apt хранилище, като изпълните следната команда в терминала.

[имейл защитен]: ~ $ echo "deb [arch = amd64] https: // pkg.осквери.io / deb deb main "|
sudo tee / etc / apt / sources.списък.г / osquery.списък

Сега ще импортираме ключа за подписване, като изпълним следната команда в терминала.

[имейл защитен]: ~ $ sudo apt-key adv - keyserver keyserver.ubuntu.com
--ключове за рев. 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

След като импортирате ключа за подписване, сега актуализирайте системата си, като изпълните следната команда в терминала.

[имейл защитен]: ~ $ sudo apt-get update

Сега инсталирайте Осквери като изпълните следната команда

[имейл защитен]: ~ $ sudo apt-get install osquery

След инсталиране Осквери, сега трябва да проверим дали е инсталиран правилно, като изпълним следната команда

[имейл защитен]: ~ $ osqueryi --version

Ако дава следния изход, значи е инсталиран правилно

Използване на Osquery

След инсталирането сме готови за употреба Осквери. Изпълнете следната команда, за да преминете към интерактивния ред на обвивката

[имейл защитен]: ~ $ osqueryi

Получаване на помощ

Сега можем да изпълняваме SQL базирани заявки, за да получаваме данни от операционната система. Можем да получим помощ относно Осквери като изпълните следната команда в интерактивната обвивка.

osquery> .помогне

Получаване на всички таблици

Както е споменато по-рано, Осквери излага данни от операционната система като релационна база данни, така че тя разполага с всички данни под формата на таблици. Можем да получим всички таблици, като изпълним следната команда в интерактивната обвивка

osquery> .таблици

Както виждаме, че като изпълним горната команда, можем да получим куп таблици. Сега можем да получаваме данни от тези таблици, като изпълняваме SQL базирани заявки.

Информация за списъка За всички потребители

Можем да видим цялата информация за потребителите, като изпълним следната команда в интерактивната обвивка

osquery> SELECT * FROM потребители;

Горната команда ще покаже gid, uid, описание и т.н. на всички потребители

Също така можем да извлечем само съответните данни за потребителите, например искаме да виждаме само потребителите, а не друга информация за потребителите. Изпълнете следната команда в интерактивната обвивка, за да получите потребителските имена

osquery> ИЗБЕРЕТЕ потребителско име ОТ потребители;

Горната команда ще покаже всички потребители във вашата система

По същия начин можем да получим потребителски имена заедно с директорията, в която съществува потребителят, като изпълним следната команда.

osquery> SELECT потребителско име, директория FROM потребители;

По същия начин можем да запитваме колкото полета искаме, като изпълняваме подобни команди.

Също така можем да получим всички данни на конкретни потребители. Например искаме да получим цялата информация за основния потребител. Можем да получим цялата информация за root потребителя, като изпълним следната команда.

osquery> SELECT * FROM потребители WHERE username = "root";

Също така можем да получим конкретни данни от конкретни полета (колони). Например искаме да получим идентификатора на групата и потребителското име на основния потребител. Изпълнете следната команда, за да получите тези данни.

osquery> ИЗБЕРЕТЕ потребителско име, gid ОТ потребители WHERE потребителско име = ”root”

По този начин можем да запитваме всичко, което искаме от таблица.

Изброяване на всички процеси

Можем да изброим първите пет процеса, работещи в ubuntu, като изпълним следната команда в интерактивната обвивка

osquery> SELECT * FROM процеси ГРАНИЦА 5;

Тъй като в системата се изпълняват много процеси, ние показахме само пет процеса с помощта на ключова дума LIMIT.

Можем да намерим идентификатора на процеса на конкретен процес, например искаме да намерим идентификатора на процеса на mongodb, така че ще изпълним следната команда в интерактивната обвивка

osquery> SELECT pid FROM процеси WHERE name = "mongod";

Намиране на версия на Ubuntu

Можем да намерим версията на нашата система Ubuntu, като изпълним следната команда в интерактивната обвивка

osquery> SELECT * FROM os_version;

Ще ни покаже версията на нашата операционна система

Проверка на мрежови интерфейси и IP адреси

Можем да проверим IP адреса, маска на подмрежата на мрежовите интерфейси, като изпълним следната заявка в интерактивната обвивка.

osquery> ИНТЕРФЕЙС, интерфейс, адрес, маска ОТ интерфейса_адреси
КЪДЕ интерфейсът НЕ ПОДОБАВА „% lo%“;

Проверка на влезли потребители

Също така можем да проверим влезлите потребители във вашата система, като поискаме данни от таблицата „logged_in_users“. Изпълнете следната команда, за да намерите влезли потребители.

osquery> ИЗБЕРЕТЕ потребител, хост, време ОТ logged_in_users WHERE tty NOT LIKE '-';

Проверка на системната памет

Също така можем да проверим Обща памет, свободна кеширана памет и т.н. чрез изпълнение на някаква SQL базирана команда в интерактивната обвивка. За да проверите общата памет, изпълнете следната команда. Това ще ни даде обща памет на системата в байтове.

osquery> SELECT memory_total FROM memory_info;

За да проверите свободната памет на вашата система, изпълнете следната заявка в интерактивната обвивка

osquery> ИЗБЕРЕТЕ паметта_без FROM memory_info;

Когато изпълним горната команда, тя ще ни даде свободна памет, налична в нашата система

Също така можем да проверим кешираната памет на системата, използвайки таблицата memory_info, като изпълним следната заявка.

osquery> изберете кеширан от memory_info;

Изброяване на групите

Можем да намерим всички групи във вашата система, като изпълним следната заявка в интерактивната обвивка

osquery> SELECT * FROM групи;

Показване на слушане на портове

Можем да покажем всички портове за слушане на нашата система, като изпълним следната команда в интерактивната обвивка

osquery> SELECT * FROM liste_ports;

Също така можем да проверим дали даден порт слуша или не, като изпълним следната команда в интерактивната обвивка

osquery> SELECT порт, адрес FROM liste_ports WHERE порт = 27017;

Това ще ни даде изход, както е показано на следващата фигура

Заключение

Осквери е много полезна софтуерна програма за намиране на всякакъв вид информация за вашата система. Ако вече сте запознати с SQL базирани заявки, тогава е много лесно да използвате за вас или ако не сте запознати с SQL базирани заявки, тогава се опитах с всички сили да ви покажа някои основни заявки, които са полезни за намиране на данни. Можете да намерите всякакъв вид данни от всяка таблица, като изпълните подобни заявки.

Мишка Как да променяте настройките на мишката и тъчпада с помощта на Xinput в Linux
Как да променяте настройките на мишката и тъчпада с помощта на Xinput в Linux
Повечето дистрибуции на Linux се доставят с библиотека “libinput” по подразбиране за обработка на входни събития в системата. Той може да обработва вх...
Мишка Пренастройте бутоните на мишката си по различен начин за различен софтуер с X-Mouse Button Control
Пренастройте бутоните на мишката си по различен начин за различен софтуер с X-Mouse Button Control
Може би се нуждаете от инструмент, който може да промени контрола на мишката с всяко приложение, което използвате. Ако случаят е такъв, можете да изпр...
Мишка Преглед на безжична мишка на Microsoft Sculpt Touch
Преглед на безжична мишка на Microsoft Sculpt Touch
Наскоро прочетох за Microsoft Sculpt Touch безжична мишка и реших да я купя. След като го използвах известно време, реших да споделя опита си с него. ...