Моніторинг безпеки системи за допомогою osquery в Ubuntu

OSQuery є фреймворком на основі SQL для моніторингу та аналітики операційної системи. OSQuery перетворює операційну систему на єдину базу даних з таблицями, яким можна надсилати запити за допомогою SQL-подібних операторів.

Рекомендується створити не root користувача з доступом до sudo.

Встановлюємо OSQuery:

 sudo yum -y install https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

 sudo yum -y install osquery

Нижче наведено деякі приклади базових команд OSQuery.

Більше інформації про інші команди OSQuery можна отримати на офіційному сайті - https://osquery.io/docs/tables/

Запустити оболонку OSQuery:

 osqueryi

Показати всі стовпці таблиць для OS version:

 select * from os_version;

Показати деякі стовпці таблиць для System info:

 select hostname, cpu_brand, hardware_vendor, hardware_model from system_info;

Показати деякі стовпці таблиць, а також вказати більше 100 UID для User info:

 select uid, gid, username, shell from users where uid >= 100;

Показати всі стовпці таблиць для CPU Time

 select * from cpu_time;

Для виходу з оболонки OSQuery необхідно натиснути клавіші Ctrl+D.