Osquery installimine Ubuntu
Osquery paketid pole Ubuntu vaikehoidlas saadaval, nii et enne selle installimist peame lisama Osquery apt hoidla, käivitades terminalis järgmise käsu.
[meiliga kaitstud]: ~ $ echo "deb [arch = amd64] https: // pkg.võnkumine.io / deb deb main "|sudo tee / etc / apt / sources.nimekirja.d / võnkumine.nimekirja
Nüüd impordime allkirjastamisvõtme, käivitades terminalis järgmise käsu.
[meiliga kaitstud]: ~ $ sudo apt-key adv - võtmeserveri võtmeserver.ubuntu.com--retseptivõtmed 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
Pärast allkirjastamisvõtme importimist värskendage nüüd oma süsteemi, käivitades terminalis järgmise käsu.
[meiliga kaitstud]: ~ $ sudo apt-get updateNüüd installige Osquery käivitades järgmise käsu
[meiliga kaitstud]: ~ $ sudo apt-get install osqueryPärast installimist Osquery, nüüd peame järgmise käsu abil kontrollima, kas see on õigesti installitud
[meiliga kaitstud]: ~ $ osqueryi --versioonKui see annab järgmise väljundi, on see õigesti installitud
Osquery kasutamine
Pärast installimist oleme valmis kasutamiseks valmis Osquery. Interaktiivse shelliviiba avamiseks käivitage järgmine käsk
[meiliga kaitstud]: ~ $ osqueryi
Abi saamine
Nüüd saame operatsioonisüsteemist andmete saamiseks käivitada SQL-põhised päringud. Me saame abi Osquery käivitades interaktiivses kestas järgmise käsu.
võnkumine> .abi
Kõikide tabelite hankimine
Nagu varem mainitud, Osquery paljastab operatsioonisüsteemi andmed relatsiooniandmebaasina, nii et kõik andmed on tabelite kujul. Kõik tabelid saame, käivitades järgmise käsu interaktiivses kestas
võnkumine> .tabelid
Nagu näeme, et ülaltoodud käsu käivitamisel saame hulga tabeleid. Nüüd saame nendest tabelitest andmeid SQL-põhiste päringute abil.
Teave kõigi kasutajate kohta
Näeme kogu teavet kasutajate kohta, käivitades interaktiivses kestis järgmise käsu
osquery> SELECT * FROM kasutajatelt;Ülaltoodud käsk kuvab gid, uid, kirjeldust jne. kõigist kasutajatest
Samuti saame välja võtta ainult asjakohased andmed kasutajate kohta, näiteks soovime näha ainult kasutajaid, mitte muud teavet kasutajate kohta. Kasutajanimede saamiseks käivitage interaktiivses kestas järgmine käsk
osquery> SELECT kasutajanimi kasutajalt;Ülaltoodud käsk näitab kõiki teie süsteemi kasutajaid
Samamoodi saame järgmise käsu käivitades saada kasutajanimed koos kataloogiga, milles kasutaja asub.
osquery> SELECT kasutajanimi, kataloog FROM kasutajatelt;
Samamoodi saame sarnaste käskude käivitamise abil päringuid teha nii palju väljadele kui soovime.
Samuti saame kõik konkreetsete kasutajate andmed. Näiteks tahame saada kogu teavet juurkasutaja kohta. Saame kogu teabe juurkasutaja kohta järgmise käsu käivitamisega.
osquery> SELECT * FROM kasutajatelt WHERE kasutajanimi = "root";
Samuti võime saada konkreetseid andmeid kindlatelt väljadelt (veergudelt). Näiteks tahame saada juurkasutaja grupi ID ja kasutajanime. Nende andmete saamiseks käivitage järgmine käsk.
osquery> SELECT kasutajanimi, gid FROM kasutajatelt WHERE kasutajanimi = ”root”
Sel moel saame tabelilt päringuid teha, mida iganes soovime.
Kõigi protsesside loetelu
Esimesed viis ubuntus töötavat protsessi saame loetleda, käivitades interaktiivses kestis järgmise käsu
osquery> SELECT * FROM protsessidest LIMIT 5;
Kuna süsteemis töötab palju protsesse, oleme LIMIT märksõna abil kuvanud ainult viis protsessi.
Leiame konkreetse protsessi ID, näiteks tahame leida mongodbi protsessi ID, nii et käivitame interaktiivses kestas järgmise käsu
osquery> SELECT pid FROM protsessidest WHERE name = "mongod";
Ubuntu versiooni leidmine
Leiame meie Ubuntu süsteemi versiooni, käivitades interaktiivses kestas järgmise käsu
osquery> SELECT * FROM os_version;See näitab meile meie operatsioonisüsteemi versiooni
Võrguliideste ja IP-aadresside kontrollimine
Saame kontrollida IP-aadressi, võrguliideste alamvõrgu maski, käivitades järgmise päringu interaktiivses kestas.
osquery> SELECT liides, aadress, mask FROM interface_addressesKUS liides ei meeldi '% lo%';
Sisseloginud kasutajate kontrollimine
Samuti saame kontrollida teie süsteemi sisseloginud kasutajaid, pärides andmeid tabelisse logitud_kasutajad. Sisseloginud kasutajate leidmiseks käivitage järgmine käsk.
osquery> SELECT user, host, time FROM logged_in_users WHERE tty NOT LIKE '-';
Süsteemi mälu kontrollimine
Saame kontrollida ka kogu mälu, vaba mälu vahemällu jne. käivitades interaktiivses kestis mõne SQL-põhise käsu. Kogu mälu kontrollimiseks käivitage järgmine käsk. See annab meile süsteemi kogu mälu baitides.
osquery> SELECT memory_total FROM mälu_info;
Süsteemi vaba mälu kontrollimiseks käivitage interaktiivses kestis järgmine päring
osquery> SELECT memory_free FROM mälu_info;Kui käivitame ülaltoodud käsu, annab see meile meie süsteemis vaba mälu
Süsteemi vahemällu salvestatud mälu saame kontrollida ka tabeli memory_info abil, käivitades järgmise päringu.
osquery> valige vahemällu mälu_info;
Gruppide nimekiri
Leiame kõik teie süsteemi rühmad, käivitades järgmise päringu interaktiivses kestas
osquery> SELECT * FROM rühmad;
Kuulamispordide kuvamine
Saame kuvada kõik oma süsteemi kuulamisportid, käivitades interaktiivses kestas järgmise käsu
osquery> SELECT * FROM kuulamisportidest;
Samuti saame kontrollida, kas port kuulab või mitte, käivitades järgmise käsu interaktiivses kestas
osquery> SELECT port, aadress FROM listening_ports WHERE port = 27017;See annab meile väljundi, nagu on näidatud järgmisel joonisel
Järeldus
Osquery on väga kasulik tarkvara utiliit, et leida oma süsteemi kohta mis tahes teavet. Kui olete juba teadlik SQL-põhistest päringutest, on seda teie jaoks väga lihtne kasutada või kui te pole teadlik SQL-i põhistest päringutest, siis olen püüdnud kõigest väest näidata teile mõnda peamist päringut, mis on kasulikud andmete leidmiseks. Sarnaseid päringuid tehes leiate mis tahes tüüpi andmeid igast tabelist.