如何远程执行对osquery的SQL查询？

Question

我发现osquery可以在交互模式(osqueryi)和守护进程模式(osqueryd)中工作，在这两种模式下，它将在本地主机上的后台定期执行SQL查询。如何远程执行SQL查询-例如REST服务或JDBC驱动程序？

Answer 1

当osquery在守护进程模式下运行时，您可以启用分布式查询设施。启用此功能后，osqueryd将定期向远程服务器签入，以查看是否存在要执行的查询(此检查范围的典型间隔为10秒至1分)。

请注意，由于osquery运行的环境的性质，osquery代理不会侦听传入的连接。它只与远程服务器进行传出连接，以检查要执行的查询。

要利用这一点，您需要一个实现osquery远程API的服务器。有几个开放源码选项可用：

舰队 (免责声明:我构建了这个)

Zentral

门卫

中士

安全注意事项：在osquery代理上提供远程执行可能非常危险，因为它可以在运行的设备上检索敏感信息。如果您计划在代理上提供某种允许直接查询的网页，请注意，由于osquery提供了系统的SQL抽象，因此它可能容易受到注射的攻击。