Phenquestions
För att hålla denna handledning kortfattad kommer vi inte att dyka djupt in i "vad" och "hur" i ELK-stacken. Istället diskuterar vi snabbt och enkelt hur man använder det med Osquery. Vi antar också att du har en fungerande kunskap om SQL - den medföljande guiden trots).
Vad är Osquery?
Osquery har utvecklats av Facebook och är ett plattformsöppning med öppen källkod som används för att fråga och övervaka system med SQL-baserade frågor.
Osquery kan interagera med systemet och samla detaljerad information som minnesanvändning, körning av processer, laddade kärnmoduler, hårdvaruhändelser, nätverksanslutningar, etc. Verktyget körs på alla system, inklusive Windows, Linux, Mac och BSD.
Med Osquery kan du skapa SQL-frågor som visar information om systemet och använder denna information för att övervaka och analysera den insamlade informationen.
Hur man installerar Osquery på Debian-system
Det är väldigt enkelt att installera Osquery på Debian-system, och även om det inte är tillgängligt i de viktigaste Debian-reporna är det ganska enkelt att lägga till det.
Låt oss titta på den första metoden du kan använda för att installera Osquery på Debian:
Det första och enklaste steget är att ladda ner debinstallatören från huvudsidan:
https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.deb
wget https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.debsudo dpkg -i osquery_4.6.0-1.linux_amd64.deb
Vi rekommenderar ovanstående metod eftersom deb-paketen har mycket få beroenden av de flesta Debian-distributioner. Men om du vill lägga till apt, använd nästa metod.
Ange följande kommandon för att installera Osquery från förvaren.
exportera OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver hkp: // keyserver.ubuntu.com: 80 - recv-tangenter $ OSQUERY_KEY
sudo add-apt-repository 'deb [arch = amd64] https: // pkg.osquery.io / deb deb huvud '
sudo apt-get-uppdatering
sudo apt-get install osquery
Hur man använder Osquery på Debian 10
Innan vi dyker djupt in i att bygga automatiska skript och arbeta med ELK-stacken, låt oss diskutera några enkla Osquery-användningar i det lokala systemet.
Osquery har tre huvudkomponenter som du kan använda för att interagera med API: et.
Osquery: Den första komponenten är osqueryi, en interaktiv skal-session. Osqueryi-läget är helt fristående och kräver inte interaktion med Osquery-Osquery-demonen. Med osqueryi-läget kan du interagera SQL-frågor och utforska det nuvarande systemet som liknar ett SQL-skal.
NOTERA: Osquery respekterar användarutrymmen, och om du kör skalet som ett vanligt användarläge har du inte tillgång till behöriga tabeller.
Osqueryd: Den andra komponenten är osqueryd, Osquery-demonen som används för att schemalägga frågor och registrera tillståndsförändringar i bakgrunden. Demonen fungerar genom att aggregera frågeresultat som körs över en viss tidsram och genererar loggar som används för att jämföra varje fråges tillståndsändringar.
Osqueryctl: Den tredje komponenten är Osqueryctl, ett hjälpskript som används för att testa distributionskonfigurationen. Du kan också använda den som en Osquery-servicechef så att du kan starta och stoppa tjänsten.
Utanför lådan är Osquery inget annat än ett enkelt verktyg för att fråga information om systemet. Men när du kombinerar frågorna för att bygga välsorterade och aggregerade data blir det mer än ett frågeverktyg.
För att komma igång, låt oss börja med grunderna för att förstå hur det fungerar:
Det första steget är att få hjälp med kommandot:
sudo osqueryd - hjälpDetta kommando visar Osquery-daemonhjälpen med en lista med argument som du kan använda i skalet.
Nästa och det enklaste sättet att interagera med Osquery är att använda osqueryi-sessionen. Om du till exempel kör kommandot osqueryi utan argument kommer du att falla in i ett SQL-liknande skal:
sudo osqueryiInuti osqueryi-skalet kan du utföra kommandon och SQL-syntax för att välja specifik information om systemet.
För att se hjälpläget i osqueryi-skalet, använd kommandot:
osquery> .hjälpAtt utföra detta kommando bör visa hjälp angående Osquery-sessionen.
Eftersom Osquery är en relationsdatabasmapper för ditt system har den en lista med tabeller som du kan använda för att välja information från med hjälp av SQLite Queries.
NOTERA: Osquery-frågor är SQLite-baserade. Du kan hänvisa till dess dokumentation om Osquery inte ger tillräckligt med information:
https: // www.sqlite.org / index.html
Använd kommandot inuti osqueryi-skalet:
osquery> .tabellerDetta kommando listar tillgängliga tabeller som innehåller systeminformation.
Därifrån kan du välja information från tillgängliga scheman. Se till exempel informationen om DNS-resolver.
VÄLJ * FRÅN dns_resolvers;Beroende på vilket schema du frågar får du en båtmängd information och du kan behöva använda en kombination av SQL-frågor för att förstå det.
Du kan lära dig mer om Osquery-tabeller och scheman från följande resurs:
https: // osquery.io / schema / 4.6.0 /
En grundläggande SQL-guide
Osquery fungerar med SQLites syntaxfrågor för att samla information om ett system. Jag har ingen aning om varför Facebook valde den här vägen, men det fungerar.
Denna enkla handledning kommer att diskutera SQLite-grunderna för att förklara hur du kan använda den för att interagera med Osquery.
NOTERA: Detta är inte på något sätt tänkt att vara en guide för SQL eller relaterade språk. För mer språkspecifika guider, se den primära dokumentationen.
Välja specifika poster från en tabell
Med hjälp av grundläggande SQLite-syntax kan vi välja specifik information från en tabell med SELECT-satsen som visas:
VÄLJ pid, namn, sökväg FRÅN processer;Lägga till SQL-funktioner
Osquery stöder också SQL-funktioner, så att du kan utföra olika åtgärder med data som samlats in från frågorna.
Räkningsfunktionen kan till exempel låta dig visa antalet användare i ditt system.
VÄLJ RÄKN (*) FRÅN användare;Detta kommando returnerar det totala antalet användare i systemet.
Osquery har möjlighet att använda SQL-syntax är en stor fördel som kan hjälpa dig att bygga komplexa datamängder som kan ge dig en mer ingående analys av ett system. Det skapar också en bro som SQL-utvecklare som använder motorer som PostgreSQL, MySQL och andra kan använda för att anpassa med lätthet.
https: // osquery.läsdoktorer.io / sv / stabil / introduktion / sql /
Ett roligt sidoprojekt
När du utforskar Osquery vidare och experimenterar med det kommer du att upptäcka att det är ett omfattande och kraftfullt verktyg som gör det enkelt att skapa projekt som är särskilt anpassade för att övervaka dina system.
På grund av den här handledningens omfattning och för att undvika förvirrande nybörjare kommer vi inte att gräva i komplexa projekt. Som nämnts, här är några verktyg du kan bygga med Osquery:
- Samla loggar med Logstash
- Skapa en systemmonitor-instrumentpanel med Elasticsearch, Logstash och Kibana.
- Bygg Osquery-flottan med Kolide
https: // osquery.läsdoktorer.io / sv / stabil / distribution / log-aggregering /
https: // www.elastisk.co / guide / sv / beats / filebeat / 7.10 / filbeat-module-osquery.html
https: // github.com / fleetdm / fleet
Slutsats
I den här handledningen tittade vi på grunderna i Osquery, inklusive hur man använder den för att samla in systeminformation.
Även om den inte var heltäckande, syftade den här guiden till att ge dig en snabb och enkel introduktion till Osquery; det var inte alls en referensguide.
Använd gärna andra resurser för att få en djupare förståelse för de olika begreppen som vi har diskuterat i denna handledning.
