Installation von OSQuery in Ubuntu
Osquery Pakete sind im Standard -Ubuntu -Repository nicht verfügbar. Bevor wir es installieren, müssen wir das hinzufügen Osquery APT -Repository, indem der folgende Befehl im Terminal ausgeführt wird.
Ubuntu@Ubuntu: ~ $ echo "Deb [arch = amd64] https: // pkg.Osquery.io/deb deb main "|
sudo tee/etc/apt/Quellen.Liste.D/Osquery.Liste
Jetzt werden wir den Signierschlüssel importieren, indem wir den folgenden Befehl im Terminal ausführen.
Ubuntu@Ubuntu: ~ $ sudo Apt-Key Adv-Keyserver Keyserver.Ubuntu.com
--recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
Aktualisieren Sie nach dem Importieren der Signaturschlüssel Ihr System nun, indem Sie den folgenden Befehl im Terminal ausführen.
Ubuntu@Ubuntu: ~ $ sudo Apt-Get-Update
Jetzt installieren Osquery Durch Ausführen des folgenden Befehls
Ubuntu@Ubuntu: ~ $ sudo apt-Get Installieren Sie OSQuery
Nach der Installation Osquery, Jetzt müssen wir überprüfen, ob es korrekt installiert wurde, indem der folgende Befehl ausgeführt wird
Ubuntu@Ubuntu: ~ $ osqueryi -Verssion
Wenn es die folgende Ausgabe angibt, ist es korrekt installiert
Verwenden von Osquery
Jetzt nach der Installation sind wir bereit zu verwenden Osquery. Führen Sie den folgenden Befehl aus, um zur interaktiven Shell -Eingabeaufforderung zu gehen
Ubuntu@Ubuntu: ~ $ osqueryi
Hilfe bekommen
Jetzt können wir SQL -basierte Abfragen ausführen, um Daten aus dem Betriebssystem zu erhalten. Wir können Hilfe bekommen Osquery Durch Ausführen des folgenden Befehls in der interaktiven Shell.
Osquery> .HilfeAlle Tische bekommen
Wie bereits erwähnt, Osquery Stellen Sie Daten aus dem Betriebssystem als relationale Datenbank frei. Wir können alle Tabellen erhalten, indem wir den folgenden Befehl in der interaktiven Shell ausführen
Osquery> .TischeWie wir sehen können, können wir durch Ausführen des obigen Befehls ein paar Tische erhalten. Jetzt können wir Daten aus diesen Tabellen erhalten, indem wir SQL -basierte Abfragen ausführen.
Informationen zu allen Benutzern auflisten
Wir können alle Informationen über Benutzer sehen, indem wir den folgenden Befehl in der interaktiven Shell ausführen
OSQuery> Wählen Sie * von Benutzern aus;In dem obigen Befehl wird GID, UID, Beschreibung usw. angezeigt. von allen Benutzern
Wir können auch nur die relevanten Daten über Benutzer extrahieren. Zum Beispiel möchten wir nur die Benutzer und keine anderen Informationen über Benutzer sehen. Führen Sie den folgenden Befehl in der interaktiven Shell aus, um die Benutzernamen zu erhalten
OSQuery> Benutzername von Benutzern auswählen;Der obige Befehl zeigt alle Benutzer in Ihrem System an
Ebenso können wir Benutzernamen zusammen mit dem Verzeichnis erhalten, in dem der Benutzer existiert, indem wir den folgenden Befehl ausführen.
OSQuery> Benutzername, Verzeichnis von Benutzern;In ähnlicher Weise können wir so viele Felder abfragen, wie wir es wollen, indem wir die ähnlichen Befehle ausführen.
Wir können auch alle Daten bestimmter Benutzer abrufen. Zum Beispiel möchten wir alle Informationen über den Stammbenutzer erhalten. Wir können alle Informationen über den Stammbenutzer erhalten, indem wir den folgenden Befehl ausführen.
OSQuery> Wählen Sie * von Benutzern, wobei userername = "root";Wir können auch bestimmte Daten aus bestimmten Feldern (Spalten) abrufen. Zum Beispiel möchten wir die Gruppen -ID und den Benutzernamen des Stammbenutzers erhalten. Führen Sie den folgenden Befehl aus, um diese Daten zu erhalten.
OSQuery> Benutzername auswählen, GID von Benutzern wobei userername = "root"Auf diese Weise können wir alles, was wir wollen, von einem Tisch abfragen.
Auflistung aller Prozesse
Wir können die ersten fünf Prozesse auflisten, die in Ubuntu ausgeführt werden, indem wir den folgenden Befehl in der interaktiven Shell ausführen
OSQuery> Auswählen * Aus den Prozessen Grenze 5;Da im System viele Prozesse ausgeführt werden.
Wir können die Prozess -ID eines bestimmten Prozesses zum Beispiel finden. Wir möchten die Prozess -ID von MongoDB finden, damit wir den folgenden Befehl in der interaktiven Shell ausführen werden
OSQuery> PID aus Prozessen auswählen, wobei Name = "Mongod";Version von Ubuntu finden
Wir finden die Version unseres Ubuntu -Systems, indem wir den folgenden Befehl in der interaktiven Shell ausführen
OSQuery> Auswählen * aus OS_VERSION;Es zeigt uns die Version unseres Betriebssystems
Überprüfen Sie Netzwerkschnittstellen und IP -Adressen
Wir können die IP -Adresse und die Subnetzmaske von Netzwerkschnittstellen überprüfen, indem wir die folgende Abfrage in der interaktiven Shell ausführen.
OSQuery> Schnittstelle, Adresse, Maske von interface_addresses auswählenÜberprüfen Sie die angemeldeten Benutzer
Wir können auch in Ihrem System angemeldete Benutzer überprüfen, indem wir Daten aus der Tabelle 'logged_in_users' abfragen. Führen Sie den folgenden Befehl aus, um in den Benutzern protokolliert zu finden.
OSQuery> Benutzer, Host, Zeit aus logged_in_users, wo Ty nicht mag '-';Systemspeicher überprüfen
Wir können auch den Gesamtspeicher, den KOSTENLOSE Speicherspeicher usw. überprüfen usw. Durch Ausführen eines SQL -basierten Befehls in der interaktiven Shell. So überprüfen Sie den Gesamtspeicher, führen Sie den folgenden Befehl aus. Dies gibt uns den vollständigen Speicher des Systems in Bytes.
OSQuery> MEMEPET_TOTAL aus memory_info auswählen;Um den kostenlosen Speicher Ihres Systems zu überprüfen, führen Sie die folgende Abfrage in der interaktiven Shell aus
OSQuery> MEMEPET_FREE aus memory_info auswählen;Wenn wir den obigen Befehl ausführen, gibt es uns kostenlosen Speicher in unserem System zur Verfügung
Wir können auch den zwischengespeicherten Speicher des Systems mithilfe der Tabelle MORORE_INFO überprüfen, indem wir die folgende Abfrage ausführen.
OSQuery> zwischen MEMAMEITE_INFO zwischengespeichert;Die Gruppen auflisten
Wir können alle Gruppen in Ihrem System finden, indem wir die folgende Abfrage in der interaktiven Shell ausführen
OSQuery> aus Gruppen auswählen;Höranschlüsse anzeigen
Wir können alle Höranschlüsse unseres Systems anzeigen, indem wir den folgenden Befehl in der interaktiven Shell ausführen
OSQuery> Auswählen * aus Hörport;Wir können auch überprüfen, ob ein Port zuhört oder nicht, indem wir den folgenden Befehl in der interaktiven Shell ausführen
OSQuery> Port, Adresse von Hör- und Hörport, wobei Port = 27017;Dies gibt uns die Ausgabe, wie in der folgenden Abbildung gezeigt
Abschluss
Osquery ist ein sehr nützliches Software -Dienstprogramm, um Informationen zu Ihrem System zu finden. Wenn Sie bereits SQL -basierte Abfragen kennen, ist es für Sie sehr einfach zu verwenden, oder wenn Sie nicht von SQL -basierten Abfragen bekannt sind, habe ich mein Bestes versucht, Ihnen einige wichtige Abfragen zu zeigen, die nützlich sind, um Daten zu finden. Sie können alle Art von Daten aus jeder Tabelle finden, indem Sie ähnliche Abfragen ausführen.