Kif Tissorvelja s-Sigurtà tas-Server Linux b'Osquery
Osquery huwa qafas ta' strumentazzjoni, monitoraġġ u analitika ta' sistema operattiva b'xejn u b'saħħtu u multi-pjattaforma bbażata fuq SQL għal sistemi Linux, FreeBSD, Windows u Mac/OS X, mibnija minn Facebook. Huwa esploratur tas-sistema operattiva sempliċi u faċli biex tużah.
Tgħaqqad għadd ta' għodod li jwettqu analitiċi u monitoraġġ ta' OS ta' livell baxx; dawn l-għodod jiżvelaw sistema operattiva bħala database relazzjonali ta 'prestazzjoni għolja bħal MySQL/MariaDB, PostgreSQL u aktar, fejn il-kunċetti tal-OS huma rappreżentati f'forma tabulari, u b'hekk jippermettu lill-utenti jimpjegaw kmandi SQL biex iwettqu monitoraġġ u analitika tas-sistema.
Osquery juża plugin sempliċi u estensjonijiet API biex jimplimenta tabelli SQL, hemm ġabra ta 'tabelli eżistenti lesti għall-użu, u qed jinkitbu aktar. Xi tabelli jistgħu jinstabu biss fuq sistema operattiva speċifika, pereżempju, issib biss it-tabella kernel_modules fuq sistemi Linux.
Barra minn hekk, tista 'tmexxi mistoqsijiet biex tissorvelja u tanalizza l-istat tal-OS fuq host wieħed permezz tal-qoxra tal-osqueryi, jew fuq diversi hosts fuq netwerk permezz ta' scheduler jew tesegwixxihom minn kwalunkwe applikazzjonijiet tad-dwana tiegħek billi tuża l-APIs Thrift tal-osquery.
Kif Tinstalla Osquery fil-Linux
L-Osquery jista 'jiġi installat mir-repożitorju uffiċjali bl-użu ta' għodda ta 'ġestjoni tal-pakketti dnf fuq id-distribuzzjoni rispettiva tiegħek tal-Linux kif muri.
$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' $ sudo apt update $ sudo apt install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager --enable osquery-s3-rpm-repo $ sudo yum install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo dnf config-manager --set-enabled osquery-s3-rpm $ sudo dnf install osquery
Kif timmonitorja u tanalizza Linux billi tuża Osquery
Ladarba tkun installat b'suċċess Osquery fis-sistema tiegħek, iniedi l-qoxra tal-osqueryi biex tibda mistoqsija l-istat tal-OS tiegħek kif muri.
$ osqueryi Using a virtual database. Need help, type '.help' osquery>
Biex tikseb informazzjoni fil-qosor tas-sistema Linux mexxi l-kmand li ġej.
osquery> SELECT * FROM system_info;
Biex tikseb lista ifformattjata tajjeb tal-utenti kollha fuq is-sistema Linux, agħmel il-mistoqsija li ġejja.
osquery> SELECT * FROM users;
Biex tikseb lista tal-moduli kollha tal-kernel Linux u l-istatus tagħhom, mexxi l-mistoqsija li ġejja.
osquery> SELECT * FROM kernel_modules;
Biex tikseb lista tal-pakketti RPM installati kollha fuq CentOS, RHEL u Fedora, mexxi l-mistoqsija li ġejja.
osquery> .all rpm_packages;
Biex tikseb informazzjoni dwar it-tħaddim tal-proċessi Linux, mexxi l-mistoqsija li ġejja.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Jekk qed tmexxi l-osquery fuq desktop u għandek installat Firefox jew Chrome, tista' telenka l-add-ons kollha tiegħek billi tuża l-mistoqsija li ġejja.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Biex turi lista tat-tabelli implimentati kollha fil-Linux, uża l-kmand .tables kif muri.
osquery> .tables; #list all implemented tables osquery> .help; #view help message
Osquery jipprovdi wkoll monitoraġġ tal-integrità tal-fajl (FIM), u karatteristiċi ta 'verifika tal-proċess u tas-socket u aktar, għalhekk hija għodda ta' skoperta ta 'intrużjoni, iżda dan jitlob għal ċerti konfigurazzjonijiet qabel ma tkun tista' tużaha għal tali għan. Tista' ssib aktar informazzjoni mir-repożitorju ta' Osquery Github.