Phenquestions
Installation af Osquery i Ubuntu
Osquery pakker er ikke tilgængelige i standard Ubuntu-arkivet, så før vi installerer det, skal vi tilføje Osquery apt repository ved at køre følgende kommando i terminalen.
[e-mail-beskyttet]: ~ $ echo "deb [arch = amd64] https: // pkg.osquery.io / deb deb main "|sudo tee / etc / apt / sources.liste.d / osquery.liste
Nu importerer vi signaturnøglen ved at køre følgende kommando i terminalen.
[e-mailbeskyttet]: ~ $ sudo apt-key adv --keyserver nøgleserver.ubuntu.com--recv-nøgler 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
Efter import af signaturnøglen skal du nu opdatere dit system ved at køre følgende kommando i terminalen.
[e-mail-beskyttet]: ~ $ sudo apt-get opdateringInstaller nu Osquery ved at køre følgende kommando
[e-mail-beskyttet]: ~ $ sudo apt-get install osqueryEfter installation Osquery, nu skal vi kontrollere, om det er installeret korrekt ved at køre følgende kommando
[e-mail beskyttet]: ~ $ osqueryi --versionHvis det giver følgende output, er det installeret korrekt
Brug af Osquery
Nu efter installationen er vi klar til brug Osquery. Kør følgende kommando for at gå til interaktiv shell prompt
[e-mail-beskyttet]: ~ $ osqueryi
Få hjælp
Nu kan vi køre SQL-baserede forespørgsler for at hente data fra operativsystemet. Vi kan få hjælp til Osquery ved at køre følgende kommando i den interaktive shell.
osquery> .Hjælp
Få alle bordene
som nævnt tidligere, Osquery udsætter data fra operativsystemet som en relationsdatabase, så den har alle data i form af tabeller. Vi kan få alle tabellerne ved at køre følgende kommando i den interaktive shell
osquery> .tabeller
Som vi kan se, at ved at køre ovenstående kommando kan vi få en masse tabeller. Nu kan vi hente data fra disse tabeller ved at køre SQL-baserede forespørgsler.
Listeoplysninger om alle brugerne
Vi kan se alle oplysninger om brugere ved at køre følgende kommando i den interaktive shell
osquery> VÆLG * FRA brugere;Ovenstående kommando viser gid, uid, beskrivelse osv. af alle brugerne
Vi kan også udtrække kun de relevante data om brugere, for eksempel vil vi kun se brugerne og ikke andre oplysninger om brugere. Kør følgende kommando i den interaktive shell for at få brugernavne
osquery> VÆLG brugernavn FRA brugere;Ovenstående kommando viser alle brugerne i dit system
På samme måde kan vi få brugernavne sammen med den mappe, som brugeren findes i, ved at køre følgende kommando.
osquery> VÆLG brugernavn, bibliotek FRA brugere;
På samme måde kan vi forespørge så mange felter, som vi vil, ved at køre de lignende kommandoer.
Vi kan også få alle data fra specifikke brugere. For eksempel ønsker vi at få alle oplysninger om rodbrugeren. Vi kan få alle oplysninger om rodbrugeren ved at køre følgende kommando.
osquery> VÆLG * FRA brugere WHERE brugernavn = "root";
Vi kan også få specifikke data fra bestemte felter (kolonner). For eksempel ønsker vi at hente gruppe-id'et og brugernavnet på rodbrugeren. Kør følgende kommando for at hente disse data.
osquery> VÆLG brugernavn, gid FRA brugere WHERE brugernavn = ”root”
På denne måde kan vi spørge alt, hvad vi ønsker, fra en tabel.
Notering af alle processerne
Vi kan liste de første fem processer, der kører i ubuntu, ved at køre følgende kommando i den interaktive shell
osquery> VÆLG * FRA processer LIMIT 5;
Da der er mange processer, der kører i systemet, har vi kun vist fem processer ved hjælp af LIMIT nøgleord.
Vi kan finde proces-id'et for en bestemt proces, for eksempel vil vi finde proces-id'et til mongodb, så vi kører følgende kommando i den interaktive shell
osquery> VÆLG pid FRA processer WHERE name = "mongod";
Find version af Ubuntu
Vi kan finde versionen af vores Ubuntu-system ved at køre følgende kommando i den interaktive shell
osquery> VÆLG * FRA os_version;Det viser os versionen af vores operativsystem
Kontrol af netværksgrænseflader og IP-adresser
Vi kan kontrollere IP-adressen, Subnet Mask of Network Interfaces ved at køre følgende forespørgsel i den interaktive shell.
osquery> SELECT interface, address, mask FROM interface_addressesHVOR grænsefladen IKKE LIGER '% lo%';
Kontrol af indloggede brugere
Vi kan også kontrollere indloggede brugere på dit system ved at forespørge data fra tabellen 'login_in_users'. Kør følgende kommando for at finde indloggede brugere.
osquery> VÆLG bruger, vært, tid FRA logget_in_brugere HVOR tty IKKE LIKE '-';
Kontrol af systemhukommelse
Vi kan også kontrollere total hukommelse, ledig hukommelsescachehukommelse osv. ved at køre nogle SQL-baserede kommandoer i den interaktive shell. For at kontrollere total hukommelse skal du køre følgende kommando. Dette giver os total hukommelse af systemet i byte.
osquery> VÆLG memory_total FROM memory_info;
For at kontrollere ledig hukommelse på dit system skal du køre følgende forespørgsel i den interaktive shell
osquery> VÆLG hukommelsesfri FRA hukommelsesinfo;Når vi kører ovenstående kommando, giver det os ledig hukommelse tilgængelig i vores system
Vi kan også kontrollere systemets cachehukommelse ved hjælp af memory_info-tabellen ved at køre følgende forespørgsel.
osquery> vælg cache fra memory_info;
Notering af grupperne
Vi kan finde alle grupperne i dit system ved at køre følgende forespørgsel i den interaktive shell
osquery> VÆLG * FRA grupper;
Visning af lytteporte
Vi kan vise alle lytteporte på vores system ved at køre følgende kommando i den interaktive shell
osquery> SELECT * FROM listening_ports;
Vi kan også kontrollere, om en port lytter eller ej ved at køre følgende kommando i den interaktive shell
osquery> VÆLG port, adresse FRA lytter_porte, HVOR port = 27017;Dette giver os output som vist i den følgende figur
Konklusion
Osquery er et meget nyttigt softwareprogram til at finde enhver form for information om dit system. Hvis du allerede er opmærksom på SQL-baserede forespørgsler, er det meget let at bruge til dig, eller hvis du ikke er opmærksom på SQL-baserede forespørgsler, så har jeg prøvet mit bedste for at vise dig nogle større forespørgsler, der er nyttige til at finde data. Du kan finde alle slags data fra enhver tabel ved at køre lignende forespørgsler.
