未能将osquery从窗口服务器连接到kolide船队

Question

我试图将窗口服务器中的osquery连接到kolide舰队。osqueryd服务成功创建，但我的kolide车队仪表板上什么也没有出现。

我通过以下方式创建了该服务：

sc.exe create osqueryd type= own start= auto error= normal binpath= "C:\Program Files\osquery\osqueryd\osqueryd.exe --flagfile=\Program Files\osquery\osquery.flags" displayname= 'osqueryd'

sc.exe start osqueryd

我的osquery.flags

--enroll_secret_path="C:\Users\xxx\Desktop\Secret\enroll_secret.txt"
--tls_server_certs="C:\Users\xxx\Desktop\Secret\certiticate.cer"
--tls_hostname=127.0.0.1:8080
--host_identifier=uuid
--enroll_tls_endpoint=/api/v1/osquery/enroll
--config_plugin=tls
--config_tls_endpoint=/api/v1/osquery/config
--config_refresh=10
--disable_distributed=false
--distributed_plugin=tls
--distributed_interval=3
--distributed_tls_max_attempts=3
--distributed_tls_read_endpoint=/api/v1/osquery/distributed/read
--distributed_tls_write_endpoint=/api/v1/osquery/distributed/write
--logger_plugin=tls
--logger_tls_endpoint=/api/v1/osquery/log
--logger_tls_period=10

我不知道如何更改标志命令以适应window服务。

Answer 1

调试此类问题的最佳方法是手动运行osqueryd，而不是作为服务测试您的配置。这将使您可以在设置服务之前查看日志并使设置正确。

您需要在Powershell中使用以下命令：

& 'C:\Program Files\osquery\osqueryd\osqueryd.exe' --flagfile='\Program Files\osquery\osquery.flags'

现在您可以看到osqueryd的输出了，您可以确定问题了。如果没有，添加--verbose --tls_dump标志，您将有更多的输出需要处理：

& 'C:\Program Files\osquery\osqueryd\osqueryd.exe' --flagfile='\Program Files\osquery\osquery.flags' --verbose --tls_dump

使用此选项调试问题，适当设置标记文件。一旦您这样做了，您应该能够启动服务使用相同的标记文件，并让它成功地连接。