Phenquestions
За да запазим този урок кратък, няма да се потопим дълбоко в „какво“ и „как“ на стека ELK. Вместо това ще обсъдим бързо и директно как да го използваме с Osquery. Също така ще приемем, че имате познания по SQL - въпреки предоставеното ръководство).
Какво е Osquery?
Разработено от Facebook, Osquery е инструмент с отворен код на различни платформи, използван за заявки и наблюдение на системи, използващи SQL базирани заявки.
Osquery може да взаимодейства със системата и да събира подробна информация като използване на паметта, работещи процеси, заредени модули на ядрото, хардуерни събития, мрежови връзки и т.н. Инструментът работи на всички системи, включително Windows, Linux, Mac и BSD.
Използвайки Osquery, можете да създавате SQL заявки, които показват информация за системата и да използвате тази информация за наблюдение и анализ на събраните данни.
Как да инсталирате Osquery на Debian Systems
Инсталирането на Osquery в системите на Debian е много лесно и въпреки че не е налично в основните репозитории на Debian, добавянето е доста лесно.
Нека разгледаме първия метод, който можете да използвате, за да инсталирате Osquery на Debian:
Първата и най-проста стъпка е да изтеглите инсталатора на deb от главната страница:
https: // pkg.осквери.io / deb / osquery_4.6.0-1.linux_amd64.деб
wget https: // pkg.осквери.io / deb / osquery_4.6.0-1.linux_amd64.дебsudo dpkg -i osquery_4.6.0-1.linux_amd64.деб
Препоръчваме горния метод, тъй като deb пакетите имат много малко зависимости от повечето дистрибуции на Debian. Ако обаче искате да добавите към apt, използвайте следващия метод.
Въведете следните команди, за да инсталирате Osquery от хранилищата.
експортирайте OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver hkp: // keyserver.ubuntu.com: 80 --recv-ключове $ OSQUERY_KEY
sudo add-apt-repository 'deb [arch = amd64] https: // pkg.осквери.io / deb deb main '
sudo apt-get update
sudo apt-get install osquery
Как да използваме Osquery на Debian 10
Преди да се потопите дълбоко в изграждането на автоматизирани скриптове и да работите със стека ELK, нека обсъдим някои прости използване на Osquery в локалната система.
Osquery има три основни компонента, които можете да използвате за взаимодействие с API.
Осквери: Първият компонент е osqueryi, интерактивна сесийна обвивка. Режимът osqueryi е изцяло самостоятелен и не изисква взаимодействие с демона Osquery-Osquery. Използвайки режима osqueryi, можете интерактивно да изпълнявате SQL заявки и да изследвате текущата система, подобна на SQL черупка.
ЗАБЕЛЕЖКА: Osquery зачита потребителските пространства и ако стартирате черупката като обикновен потребителски режим, няма да имате достъп до привилегировани таблици.
Оскверид: Другият компонент е osqueryd, демонът на Osquery, използван за планиране на заявки и запис на промени в състоянието във фонов режим. Демонът работи чрез агрегиране на резултатите от заявката, изпълнени за определен период от време, и генерира регистрационни файлове, използвани за сравнение на промените в състоянието на всяка заявка.
Osqueryctl: Третият компонент е Osqueryctl, помощен скрипт, използван за тестване на конфигурацията за разполагане. Можете също да го използвате като мениджър на услуги на Osquery, което ви позволява да стартирате и спрете услугата.
Извън кутията Osquery не е нищо повече от прост инструмент за търсене на информация за системата. Когато обаче комбинирате заявките, за да изградите добре сортирани и обобщени данни, това става повече от инструмент за заявки.
За да се въртим, нека започнем с основите, за да разберем как работи:
Първата стъпка е да получите помощ с командата:
sudo osqueryd --помощТази команда ще покаже помощта на демона Osquery със списък с аргументи, които можете да използвате в черупката.
Следващият и най-лесният начин за взаимодействие с Osquery е използването на сесията osqueryi. Например, ако изпълните командата osqueryi без аргумент, ще преминете в подобна на SQL обвивка:
sudo osqueryiВътре в черупката osqueryi можете да изпълнявате команди и синтаксис на SQL, за да изберете конкретна информация за системата.
За да видите режима на помощ в черупката на osqueryi, използвайте командата:
osquery> .помогнеИзпълнението на тази команда трябва да покаже помощ относно сесията Osquery.
Тъй като Osquery е релационен картограф на база данни за вашата система, той има списък с таблици, които можете да използвате, за да изберете информация от използването на SQLite заявки.
ЗАБЕЛЕЖКА: Заявките за осквери са базирани на SQLite. Можете да се обърнете към неговата документация, ако Osquery не предоставя достатъчно информация:
https: // www.sqlite.org / индекс.html
Вътре в черупката на osqueryi използвайте командата:
osquery> .таблициТази команда изброява наличните таблици, съдържащи системна информация.
Оттам можете да изберете информация от наличните схеми. Например прегледайте информацията за DNS преобразувателите.
ИЗБЕРЕТЕ * ОТ dns_resolvers;В зависимост от схемата, която заявявате, ще получите много информация и може да се наложи да използвате комбинация от SQL заявки, за да я осмислите.
Можете да научите повече за таблиците и схемите на Osquery от следния ресурс:
https: // osquery.io / schema / 4.6.0 /
Основно SQL ръководство
Osquery работи, като използва SQLite синтаксисни заявки за събиране на информация за система. Нямам представа защо Facebook избра този маршрут, но работи.
Този прост урок ще обсъди основите на SQLite, за да обясни как можете да го използвате за взаимодействие с Osquery.
ЗАБЕЛЕЖКА: Това по никакъв начин не е предназначено да бъде ръководство за SQL или сродни езици. За повече специфични за езика ръководства вижте основната документация.
Избиране на конкретни записи от таблица
Използвайки основния синтаксис на SQLite, можем да изберем конкретна информация от таблица, използвайки инструкцията SELECT, както е показано:
ИЗБЕРЕТЕ pid, име, път ОТ процеси;Добавяне на SQL функции
Osquery също поддържа SQL функции, позволявайки ви да извършвате различни действия с данни, събрани от заявките.
Например функцията за броене може да ви позволи да видите броя на потребителите във вашата система.
ИЗБЕРЕТЕ БРОЙ (*) ОТ потребители;Тази команда ще върне общия брой потребители в системата.
Способността на Osquery да използва SQL синтаксис е огромно предимство, което може да ви помогне да изградите сложни набори от данни, които могат да ви дадат по-задълбочен анализ на система. Той също така създава мост, който разработчиците на SQL, използващи двигатели като PostgreSQL, MySQL и други, могат да използват, за да се адаптират с лекота.
https: // osquery.readthedocs.io / bg / стабилна / въведение / sql /
Забавен, страничен проект
Когато изследвате Osquery по-нататък и експериментирате с него, ще откриете, че това е изчерпателен и мощен инструмент, който улеснява създаването на проекти, специално настроени за наблюдение на вашите системи.
Поради обхвата на този урок и за да не объркаме начинаещите, няма да задълбаваме в сложни проекти. Това споменахме, ето някои инструменти, които можете да изградите с помощта на Osquery:
- Събирайте регистрационни файлове с Logstash
- Изградете табло за системно наблюдение с Elasticsearch, Logstash и Kibana.
- Изградете Osquery флот с Kolide
https: // osquery.readthedocs.io / bg / стабилно / разполагане / регистрация / регистрация /
https: // www.еластична.co / guide / en / beats / filebeat / 7.10 / filebeat-module-osquery.html
https: // github.com / fleetdm / флот
Заключение
В този урок разгледахме основите на Osquery, включително как да го използваме за събиране на системна информация.
Макар и да не е изчерпателно, това ръководство има за цел да ви предостави бързо и лесно въведение в Osquery; в никакъв случай не беше справочно ръководство.
Чувствайте се свободни да използвате други ресурси, за да получите по-задълбочено разбиране на различните концепции, които сме обсъждали в този урок.
