Ubuntu

Sådan installeres og bruges Osquery i Ubuntu

Sådan installeres og bruges Osquery i Ubuntu
Osquery er et open source og cross-platform softwareværktøj, der kan bruges til at eksponere et operativsystem som en relationsdatabase. Vi kan hente data fra operativsystemet ved at køre SQL-baserede forespørgsler. I denne blog vil vi se, hvordan du installerer Osquery i Ubuntu og hvordan man bruger det til at hente data fra operativsystemet.

Installation af Osquery i Ubuntu

Osquery pakker er ikke tilgængelige i standard Ubuntu-arkivet, så før vi installerer det, skal vi tilføje Osquery apt repository ved at køre følgende kommando i terminalen.

[e-mail-beskyttet]: ~ $ echo "deb [arch = amd64] https: // pkg.osquery.io / deb deb main "|
sudo tee / etc / apt / sources.liste.d / osquery.liste

Nu importerer vi signaturnøglen ved at køre følgende kommando i terminalen.

[e-mailbeskyttet]: ~ $ sudo apt-key adv --keyserver nøgleserver.ubuntu.com
--recv-nøgler 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

Efter import af signaturnøglen skal du nu opdatere dit system ved at køre følgende kommando i terminalen.

[e-mail-beskyttet]: ~ $ sudo apt-get opdatering

Installer nu Osquery ved at køre følgende kommando

[e-mail-beskyttet]: ~ $ sudo apt-get install osquery

Efter installation Osquery, nu skal vi kontrollere, om det er installeret korrekt ved at køre følgende kommando

[e-mail beskyttet]: ~ $ osqueryi --version

Hvis det giver følgende output, er det installeret korrekt

Brug af Osquery

Nu efter installationen er vi klar til brug Osquery. Kør følgende kommando for at gå til interaktiv shell prompt

[e-mail-beskyttet]: ~ $ osqueryi

Få hjælp

Nu kan vi køre SQL-baserede forespørgsler for at hente data fra operativsystemet. Vi kan få hjælp til Osquery ved at køre følgende kommando i den interaktive shell.

osquery> .Hjælp

Få alle bordene

som nævnt tidligere, Osquery udsætter data fra operativsystemet som en relationsdatabase, så den har alle data i form af tabeller. Vi kan få alle tabellerne ved at køre følgende kommando i den interaktive shell

osquery> .tabeller

Som vi kan se, at ved at køre ovenstående kommando kan vi få en masse tabeller. Nu kan vi hente data fra disse tabeller ved at køre SQL-baserede forespørgsler.

Listeoplysninger om alle brugerne

Vi kan se alle oplysninger om brugere ved at køre følgende kommando i den interaktive shell

osquery> VÆLG * FRA brugere;

Ovenstående kommando viser gid, uid, beskrivelse osv. af alle brugerne

Vi kan også udtrække kun de relevante data om brugere, for eksempel vil vi kun se brugerne og ikke andre oplysninger om brugere. Kør følgende kommando i den interaktive shell for at få brugernavne

osquery> VÆLG brugernavn FRA brugere;

Ovenstående kommando viser alle brugerne i dit system

På samme måde kan vi få brugernavne sammen med den mappe, som brugeren findes i, ved at køre følgende kommando.

osquery> VÆLG brugernavn, bibliotek FRA brugere;

På samme måde kan vi forespørge så mange felter, som vi vil, ved at køre de lignende kommandoer.

Vi kan også få alle data fra specifikke brugere. For eksempel ønsker vi at få alle oplysninger om rodbrugeren. Vi kan få alle oplysninger om rodbrugeren ved at køre følgende kommando.

osquery> VÆLG * FRA brugere WHERE brugernavn = "root";

Vi kan også få specifikke data fra bestemte felter (kolonner). For eksempel ønsker vi at hente gruppe-id'et og brugernavnet på rodbrugeren. Kør følgende kommando for at hente disse data.

osquery> VÆLG brugernavn, gid FRA brugere WHERE brugernavn = ”root”

På denne måde kan vi spørge alt, hvad vi ønsker, fra en tabel.

Notering af alle processerne

Vi kan liste de første fem processer, der kører i ubuntu, ved at køre følgende kommando i den interaktive shell

osquery> VÆLG * FRA processer LIMIT 5;

Da der er mange processer, der kører i systemet, har vi kun vist fem processer ved hjælp af LIMIT nøgleord.

Vi kan finde proces-id'et for en bestemt proces, for eksempel vil vi finde proces-id'et til mongodb, så vi kører følgende kommando i den interaktive shell

osquery> VÆLG pid FRA processer WHERE name = "mongod";

Find version af Ubuntu

Vi kan finde versionen af ​​vores Ubuntu-system ved at køre følgende kommando i den interaktive shell

osquery> VÆLG * FRA os_version;

Det viser os versionen af ​​vores operativsystem

Kontrol af netværksgrænseflader og IP-adresser

Vi kan kontrollere IP-adressen, Subnet Mask of Network Interfaces ved at køre følgende forespørgsel i den interaktive shell.

osquery> SELECT interface, address, mask FROM interface_addresses
HVOR grænsefladen IKKE LIGER '% lo%';

Kontrol af indloggede brugere

Vi kan også kontrollere indloggede brugere på dit system ved at forespørge data fra tabellen 'login_in_users'. Kør følgende kommando for at finde indloggede brugere.

osquery> VÆLG bruger, vært, tid FRA logget_in_brugere HVOR tty IKKE LIKE '-';

Kontrol af systemhukommelse

Vi kan også kontrollere total hukommelse, ledig hukommelsescachehukommelse osv. ved at køre nogle SQL-baserede kommandoer i den interaktive shell. For at kontrollere total hukommelse skal du køre følgende kommando. Dette giver os total hukommelse af systemet i byte.

osquery> VÆLG memory_total FROM memory_info;

For at kontrollere ledig hukommelse på dit system skal du køre følgende forespørgsel i den interaktive shell

osquery> VÆLG hukommelsesfri FRA hukommelsesinfo;

Når vi kører ovenstående kommando, giver det os ledig hukommelse tilgængelig i vores system

Vi kan også kontrollere systemets cachehukommelse ved hjælp af memory_info-tabellen ved at køre følgende forespørgsel.

osquery> vælg cache fra memory_info;

Notering af grupperne

Vi kan finde alle grupperne i dit system ved at køre følgende forespørgsel i den interaktive shell

osquery> VÆLG * FRA grupper;

Visning af lytteporte

Vi kan vise alle lytteporte på vores system ved at køre følgende kommando i den interaktive shell

osquery> SELECT * FROM listening_ports;

Vi kan også kontrollere, om en port lytter eller ej ved at køre følgende kommando i den interaktive shell

osquery> VÆLG port, adresse FRA lytter_porte, HVOR port = 27017;

Dette giver os output som vist i den følgende figur

Konklusion

Osquery er et meget nyttigt softwareprogram til at finde enhver form for information om dit system. Hvis du allerede er opmærksom på SQL-baserede forespørgsler, er det meget let at bruge til dig, eller hvis du ikke er opmærksom på SQL-baserede forespørgsler, så har jeg prøvet mit bedste for at vise dig nogle større forespørgsler, der er nyttige til at finde data. Du kan finde alle slags data fra enhver tabel ved at køre lignende forespørgsler.

Gaffelsystemkald Linux
Gaffelsystemopkald Gaffelsystemopkaldet bruges til at oprette nye processer. Den nyoprettede proces er barneprocessen. Processen, der kalder fork og s...
Stat System Call Linux-vejledning
Linux-systemopkald Systemopkald leveret af linux-kernen eksponeres på C-programmeringssproget via glibc.  Når der bruges et systemopkald, kommunikerer...
GPU Bedste GPU under $ 600, som du kan købe i dag
Bedste GPU under $ 600, som du kan købe i dag
En GPU er måske den mest vigtige komponent for indholdsskabere, der arbejder med pixels i højere opløsning og hardcore-gamere, der leder efter hurtig ...