So installieren und verwenden Sie OSQuery in Ubuntu

Osquery ist ein Open Source- und Cross -Plattform -Software -Dienstprogramm, mit dem ein Betriebssystem als relationale Datenbank freigelegt werden kann. Wir können Daten aus dem Betriebssystem erhalten, indem wir SQL -basierte Abfragen ausführen. In diesem Blog werden wir sehen, wie man installiert Osquery in Ubuntu und wie man sie verwendet, um Daten aus dem Betriebssystem zu erhalten.

Installation von OSQuery in Ubuntu

Osquery Pakete sind im Standard -Ubuntu -Repository nicht verfügbar. Bevor wir es installieren, müssen wir das hinzufügen Osquery APT -Repository, indem der folgende Befehl im Terminal ausgeführt wird.

Ubuntu@Ubuntu: ~ $ echo "Deb [arch = amd64] https: // pkg.Osquery.io/deb deb main "|
sudo tee/etc/apt/Quellen.Liste.D/Osquery.Liste

Jetzt werden wir den Signierschlüssel importieren, indem wir den folgenden Befehl im Terminal ausführen.

Ubuntu@Ubuntu: ~ $ sudo Apt-Key Adv-Keyserver Keyserver.Ubuntu.com
--recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

Aktualisieren Sie nach dem Importieren der Signaturschlüssel Ihr System nun, indem Sie den folgenden Befehl im Terminal ausführen.

Ubuntu@Ubuntu: ~ $ sudo Apt-Get-Update

Jetzt installieren Osquery Durch Ausführen des folgenden Befehls

Ubuntu@Ubuntu: ~ $ sudo apt-Get Installieren Sie OSQuery

Nach der Installation Osquery, Jetzt müssen wir überprüfen, ob es korrekt installiert wurde, indem der folgende Befehl ausgeführt wird

Ubuntu@Ubuntu: ~ $ osqueryi -Verssion

Wenn es die folgende Ausgabe angibt, ist es korrekt installiert

Verwenden von Osquery

Jetzt nach der Installation sind wir bereit zu verwenden Osquery. Führen Sie den folgenden Befehl aus, um zur interaktiven Shell -Eingabeaufforderung zu gehen

Ubuntu@Ubuntu: ~ $ osqueryi

Hilfe bekommen

Jetzt können wir SQL -basierte Abfragen ausführen, um Daten aus dem Betriebssystem zu erhalten. Wir können Hilfe bekommen Osquery Durch Ausführen des folgenden Befehls in der interaktiven Shell.

Osquery> .Hilfe

Alle Tische bekommen

Wie bereits erwähnt, Osquery Stellen Sie Daten aus dem Betriebssystem als relationale Datenbank frei. Wir können alle Tabellen erhalten, indem wir den folgenden Befehl in der interaktiven Shell ausführen

Osquery> .Tische

Wie wir sehen können, können wir durch Ausführen des obigen Befehls ein paar Tische erhalten. Jetzt können wir Daten aus diesen Tabellen erhalten, indem wir SQL -basierte Abfragen ausführen.

Informationen zu allen Benutzern auflisten

Wir können alle Informationen über Benutzer sehen, indem wir den folgenden Befehl in der interaktiven Shell ausführen

OSQuery> Wählen Sie * von Benutzern aus;

In dem obigen Befehl wird GID, UID, Beschreibung usw. angezeigt. von allen Benutzern

Wir können auch nur die relevanten Daten über Benutzer extrahieren. Zum Beispiel möchten wir nur die Benutzer und keine anderen Informationen über Benutzer sehen. Führen Sie den folgenden Befehl in der interaktiven Shell aus, um die Benutzernamen zu erhalten

OSQuery> Benutzername von Benutzern auswählen;

Der obige Befehl zeigt alle Benutzer in Ihrem System an

Ebenso können wir Benutzernamen zusammen mit dem Verzeichnis erhalten, in dem der Benutzer existiert, indem wir den folgenden Befehl ausführen.

OSQuery> Benutzername, Verzeichnis von Benutzern;

In ähnlicher Weise können wir so viele Felder abfragen, wie wir es wollen, indem wir die ähnlichen Befehle ausführen.

Wir können auch alle Daten bestimmter Benutzer abrufen. Zum Beispiel möchten wir alle Informationen über den Stammbenutzer erhalten. Wir können alle Informationen über den Stammbenutzer erhalten, indem wir den folgenden Befehl ausführen.

OSQuery> Wählen Sie * von Benutzern, wobei userername = "root";

Wir können auch bestimmte Daten aus bestimmten Feldern (Spalten) abrufen. Zum Beispiel möchten wir die Gruppen -ID und den Benutzernamen des Stammbenutzers erhalten. Führen Sie den folgenden Befehl aus, um diese Daten zu erhalten.

OSQuery> Benutzername auswählen, GID von Benutzern wobei userername = "root"

Auf diese Weise können wir alles, was wir wollen, von einem Tisch abfragen.

Auflistung aller Prozesse

Wir können die ersten fünf Prozesse auflisten, die in Ubuntu ausgeführt werden, indem wir den folgenden Befehl in der interaktiven Shell ausführen

OSQuery> Auswählen * Aus den Prozessen Grenze 5;

Da im System viele Prozesse ausgeführt werden.

Wir können die Prozess -ID eines bestimmten Prozesses zum Beispiel finden. Wir möchten die Prozess -ID von MongoDB finden, damit wir den folgenden Befehl in der interaktiven Shell ausführen werden

OSQuery> PID aus Prozessen auswählen, wobei Name = "Mongod";

Version von Ubuntu finden

Wir finden die Version unseres Ubuntu -Systems, indem wir den folgenden Befehl in der interaktiven Shell ausführen

OSQuery> Auswählen * aus OS_VERSION;

Es zeigt uns die Version unseres Betriebssystems

Überprüfen Sie Netzwerkschnittstellen und IP -Adressen

Wir können die IP -Adresse und die Subnetzmaske von Netzwerkschnittstellen überprüfen, indem wir die folgende Abfrage in der interaktiven Shell ausführen.

OSQuery> Schnittstelle, Adresse, Maske von interface_addresses auswählen
Wo die Schnittstelle nicht "%lo%" mag;

Überprüfen Sie die angemeldeten Benutzer

Wir können auch in Ihrem System angemeldete Benutzer überprüfen, indem wir Daten aus der Tabelle 'logged_in_users' abfragen. Führen Sie den folgenden Befehl aus, um in den Benutzern protokolliert zu finden.

OSQuery> Benutzer, Host, Zeit aus logged_in_users, wo Ty nicht mag '-';

Systemspeicher überprüfen

Wir können auch den Gesamtspeicher, den KOSTENLOSE Speicherspeicher usw. überprüfen usw. Durch Ausführen eines SQL -basierten Befehls in der interaktiven Shell. So überprüfen Sie den Gesamtspeicher, führen Sie den folgenden Befehl aus. Dies gibt uns den vollständigen Speicher des Systems in Bytes.

OSQuery> MEMEPET_TOTAL aus memory_info auswählen;

Um den kostenlosen Speicher Ihres Systems zu überprüfen, führen Sie die folgende Abfrage in der interaktiven Shell aus

OSQuery> MEMEPET_FREE aus memory_info auswählen;

Wenn wir den obigen Befehl ausführen, gibt es uns kostenlosen Speicher in unserem System zur Verfügung

Wir können auch den zwischengespeicherten Speicher des Systems mithilfe der Tabelle MORORE_INFO überprüfen, indem wir die folgende Abfrage ausführen.

OSQuery> zwischen MEMAMEITE_INFO zwischengespeichert;

Die Gruppen auflisten

Wir können alle Gruppen in Ihrem System finden, indem wir die folgende Abfrage in der interaktiven Shell ausführen

OSQuery> aus Gruppen auswählen;

Höranschlüsse anzeigen

Wir können alle Höranschlüsse unseres Systems anzeigen, indem wir den folgenden Befehl in der interaktiven Shell ausführen

OSQuery> Auswählen * aus Hörport;

Wir können auch überprüfen, ob ein Port zuhört oder nicht, indem wir den folgenden Befehl in der interaktiven Shell ausführen

OSQuery> Port, Adresse von Hör- und Hörport, wobei Port = 27017;

Dies gibt uns die Ausgabe, wie in der folgenden Abbildung gezeigt

Abschluss

Osquery ist ein sehr nützliches Software -Dienstprogramm, um Informationen zu Ihrem System zu finden. Wenn Sie bereits SQL -basierte Abfragen kennen, ist es für Sie sehr einfach zu verwenden, oder wenn Sie nicht von SQL -basierten Abfragen bekannt sind, habe ich mein Bestes versucht, Ihnen einige wichtige Abfragen zu zeigen, die nützlich sind, um Daten zu finden. Sie können alle Art von Daten aus jeder Tabelle finden, indem Sie ähnliche Abfragen ausführen.