- 综合排序
- 最热优先
- 最新优先
- 来自专栏giantbranch's blog
Ubuntu安装osquery试用
=/etc/apt/keyrings/osquery.asc] https://pkg.osquery.io/deb deb main' sudo apt install osquery add-apt-repository /share/osquery/osquery.example.conf /etc/osquery/osquery.conf 之后就可以启动啦 root@ubuntu:~# osqueryctl restart /bin/osqueryd --flagfile /etc/osquery/osquery.flags --config_path /etc/osquery/osquery.conf Oct 18 07:23:06 ubuntu systemd[1]: Started The osquery Daemon. /schema/5.9.1/ 页面可以选择osquery的版本
24410编辑于 2024-12-31 - 来自专栏全栈程序员必看
osquery+kolide fleet安装
--add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo yum-config-manager --enable osquery-s3-rpm yum install osquery -y cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf osquery有两种运行模式 osqueryd.results.log osqueryd.snapshots.log:每次查询的结果记录 osquery的配置文件基础解析:osquery配置文件分为三打段 options:osquery =/var/log/kolide/osquery_result \ --osquery_status_log_file=/var/log/kolide/osquery_status 在第一次执行上面的命令后 =/var/log/kolide/osquery_result \ --osquery_status_log_file=/var/log/kolide/osquery_status \
97010编辑于 2022-07-01 - 来自专栏运维前线
CentOS 7 安装osquery监控系统
https://blog.csdn.net/wh211212/article/details/53113652 osquery 简介 osquery是一个SQL驱动操作系统检测和分析工具 它使得底层操作系统分析和监控性能更加直观 项目主页:http://osquery.io/ 代码托管地址:https://github.com/facebook/osquer osquery 安装 [root -repo-1-0.0.noarch.rpm [root@linuxprobe~]# yum -y install osquery osquery 使用文档: https://osquery.io/ > 定时监控设置 创建osquery配置文件 [root@linuxprobe~]# vi /etc/osquery/osquery.conf # create new { "options": 查看osquery日志 [root@linuxprobe osquery]# less /var/log/osquery/osqueryd.results.log
1.5K11发布于 2019-05-26 - 来自专栏debugeeker的专栏
最后防线:osquery功能与实现
开源HIDS osquery的主机监控功能和实现原理。 osquery代码链接:osquery osquery表结构:表结构 本文是在安装它之后,从osqueryi中的表再调研代码来获取它的实现 设备基线 ---- 对系统使用的设备建立基线,从而发现故障的设备
1K40发布于 2021-03-23 - 来自专栏Debian中国
osquery 4.1.0 发布,操作系统监控工具
osquery 是 SQL 驱动的分析和监控操作系统的工具,是操作系统分析框架,支持 OS X 和 Linux 系统。osquery 能帮助监控和分析低水平的操作系统,提供更直观的性能监控。 ? Windows 添加表 connectivity、default_environment 及 windows_security_products 详情请见发布说明:https://github.com/osquery /osquery/releases/tag/4.1.0
71720发布于 2020-01-21 - 来自专栏网络安全技术点滴分享
QueryCon 2019:osquery发展的转折点
14位演讲者带来了关于osquery的技术演讲,内容涵盖Linux安全事件监控的技术演示到终端用户研究的讨论。 基金会运作机制Linux基金会作为osquery的管理者,提供各种资金和管理平台。 新的稳定版本在会议结束时的社区研讨会上,osquery用户和TSC成员讨论了下一个稳定版本的最佳路径。 会议七天后,Trail of Bits的Alessandro Gario提供了新版本osquery的预发布版。 现在osquery的开发已经解锁,我们迫不及待想看到它的改进。osquery的下一步是什么?我们希望听到您的意见!如果您在组织中使用osquery,让我们谈谈接下来应该实现哪些功能和修复。
11110编辑于 2025-07-31 - 来自专栏FreeBuf
基于OSQuery安全资产信息监控实践
在进入OSQuery方案之前,先回顾一下SNMP的工作流程。 我们使用的OSQuery作为数据取得的基础中间件,最大的好处是将审计数据取得的技术成本降低,并且OSQuery是跨平台,支持多语言的客户端。 0x04 基础软件架构 ? 0x05 实现展示与测试 我们能过一段OSQuery客户端代码来展示,如何通过OSQuery取得服务的Cron信息地过程,看看OSQuery如何的简单便利的取得审计信息。 ? from jsonrpc import jsonrpc_method import osquery @jsonrpc_method('myapp.osquery') def get_cron_info 那只是为了讲明SNMP的运作流程, 然后我们 徒手写工程,用Django各强大的功能部件封装OSQuery,如果让OSQuery主动或是被动提供审计数据服务,才是真正想说的。
1.5K10发布于 2019-06-18 - 来自专栏网络安全技术点滴分享
使用Osquery进行远程取证:NTFS取证扩展实战指南
使用Osquery进行远程取证 - Trail of Bits博客系统管理员使用osquery进行端点遥测和日常监控,安全威胁猎人用它发现系统上的入侵指标。 现在另一个群体正在发现osquery的价值:取证分析师。虽然osquery核心功能擅长远程查询各种系统级数据,但取证扩展使其能够检查本地系统用户甚至无法访问的深层数据结构和元数据。 从我们的存储库获取它——以及我们的其他osquery扩展。我们致力于维护和扩展我们的扩展集合。看一看,看看我们还有什么可用的。如果需要帮助,请访问Slack上的osquery社区。 帮助事件响应者进行远程取证是osquery能力不断增强的领域。除了我们的NTFS取证扩展,osquery已经支持文件雕刻、系统活动查询和基于审计的监控。 Victor Vrantchan将讲授如何使用扩展和记录器插件将osquery与现有记录基础设施集成;Atul Kabra将谈论通过"事件驱动"扩展丰富osquery。
22110编辑于 2025-09-12 - 来自专栏网络安全技术点滴分享
Windows版osquery:跨平台终端安全监控新纪元
Windows网络安全因osquery变得更简单今天,Facebook宣布完成我们的工作成果:Windows版osquery正式发布。 安全团队现在可以通过Windows版osquery开发者工具包为其Windows网络构建定制化解决方案。该版本使您能够统一终端防御体系,并加入活跃的开源社区分享实践经验。 技术实现亮点兼容现有管理工具:Windows版osquery可与doorman等现有设备管理工具交互完整TLS支持:与Unix版本相同,全面支持TLS远程端点与证书验证进程监控示例:通过doorman实例查询 Windows设备所有运行进程osquery移植Windows的技术挑战POSIX与Windows基础差异路径分隔符由/改为\无信号机制Unix域套接字替换为命名管道缺少glob()函数,需自行实现近似功能进程模型根本性差异 :Windows无fork(),通过抽象化工作进程功能解决权限系统变革:替代整数uid/gid的是SID、ACL和DACL重新实现八进制文件权限模型深层技术难题服务化改造:将osquery守护进程转换为
22610编辑于 2025-08-28 - 来自专栏Elastic Stack专栏
实时查询腾讯云主机状态之利器——Osquery (安全篇)
包括一些示例,展示了如何使用用例来操作 Osquery 数据,例如构建关键安全警报、在调查期间查询隔离主机以及使用 ML 检测监控异常主机活动。 Osquery 管理器如何工作? Osquery是一个开源工具,可让您像使用 SQL 的数据库一样查询操作系统。 当您将Osquery Manager集成添加到Elastic Agent policy时,Osquery 将部署到使用该策略的所有agent上。 为 Osquery 数据构建安全警报 Osquery 展示了大量有关操作系统的数据。 (注意告警规则:osquery.on_disk:"0") image.png 查询隔离主机 将 Osquery 与Endpoint Security集成相结合,可以将您的安全操作提升到一个新的水平。
7.1K261编辑于 2022-04-11 - 来自专栏Elastic Stack专栏
实时查询腾讯云主机状态之利器——Osquery (运维篇)
在上一篇博文:实时查询腾讯云主机状态之利器——Osquery (安全篇)中,我们介绍了Osquery在安全分析、合规检测、威胁捕获中的应用场景。 在本篇中,我们再来看一下,从运维的角度看,我们如何通过Osquery洞察一些运维调优,故障排查时所需要的信息。全文将展示数个简单的案例,帮助大家了解我们可以通过Osquery做哪些事情。 Elastic与Osquery的完美配合 当我们在生产环境中大量使用Osquery时,我们会遇到两个主要的问题: Osquery 的设置与管理 Osqeury 生成大量数据后的数据管理 Osquery与其他工具的集成 本文,我们将介绍Osquery 的设置与管理,以及数据管理的内容 设置和管理 您将需要一个部署基础架构来将 osquery 交付到您的环境中,并需要一个配置计划来管理该工具。 /osquery-attck 使用教程 https://www.uptycs.com/blog/tag/osquery-tutorial/
5.6K82编辑于 2022-04-12 - 来自专栏云计算教程系列
如何使用Ubuntu 16.04上的osquery监视系统安全性
pidfile:在哪里编写osquery守护进程的进程id。默认为/var/osquery/osquery.pidfile。 例如,要添加更多查询,请添加以下行: /etc/osquery/osquery.conf /etc/osquery/osquery.conf "schedule": { "crontab": /etc/osquery/osquery.conf "packs": { "osquery-monitoring": "/usr/share/osquery/packs/osquery-monitoring.conf 要使新文件及其规则可用于osquery,请在/etc/osquery/osquery.conf末尾的包列表中引用它。 打开文件进行编辑: $ sudo nano /etc/osquery/osquery.conf 然后修改包部分以包含新文件: /etc/osquery/osquery.conf ...
3.7K00发布于 2018-07-30 - 来自专栏网站教程
像查询数据库一样查询你的 Linux 操作系统信息
安装 Osquery Osquery 适用于 Linux、macOS、Windows、FreeBSD。请按照 指南 为你的操作系统安装最新版本。(我会在下面的例子中使用 4.7.0 版本。) version 4.7.0$ Osquery 组件 Osquery 有两个主要组件: osqueri 是一个交互式的 SQL 查询控制台,可以独立运行,不需要超级用户权限(除非要查询的表格需要访问权限 Need help, type '.help'osquery> 要退出交互式命令提示符,执行 .quit 命令回到操作系统的命令提示符: osquery>osquery> .quit$ 找出可用的表 如前所述 ,Osquery 像 SQL 查询一样输出数据,数据库中的信息通常保存在表中。 > 从 Osquery 的 表格文档 获取更多信息。
1.3K30发布于 2021-09-13 - 来自专栏网络安全技术点滴分享
QueryCon 2019:osquery的重大转折点 - 技术治理与社区共建
新治理架构6月18日(QueryCon前夕),Linux基金会正式宣布从Facebook接管osquery所有权。 新成立的osquery基金会将由技术指导委员会(TSC)管理,成员来自Facebook、Trail of Bits、Google和Kolide等公司的工程师。 关键技术决策版本合并:将osquery核心代码与Trail of Bits维护的社区分支osql进行功能对齐,目标每月发布交替的"开发版"和"稳定版"构建系统重构:恢复CMake构建支持(#5604、#5610 会议促成osquery项目治理转型,显著加速了社区贡献流程。首个Linux基金会监管下的稳定版本在会后7天发布,标志着项目进入新发展阶段。(全文完)
14010编辑于 2025-08-12 - 来自专栏FreeBuf
2023版云安全开源工具TOP10
Osquery Osquery是一个开源的针对操作系统的监控与分析工具,支持像SQL语句一样查询系统的各项指标,例如正在运行的进程、打开的网络连接、硬件事件、浏览器插件等,适用于Windows、MacOS Osquery由 Facebook 于2014年创建并投入使用,工程师表示从中受益。Osquery 日志可以捕获到未知的恶意软件,但需要另外部署,并借助人力作威胁处置。 传送门:https://github.com/osquery/osquery 3. GoAudit 这是一款包含内核源码和监控系统调用两部分的Linux 审计系统。
1.6K40编辑于 2023-02-24 - 来自专栏FreeBuf
Fennec:针对类Unix操作系统的多功能事件应急响应工具箱
功能介绍 1、单独的静态编译的二进制文件; 2、可以执行任何osquery SQL查询; 3、支持执行系统命令; 4、使用正则表达式解析任何文本文件; 5、支持收集系统日志和文件; 6、以结构化格式返回数据 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/AbdulRhmanAlfaifi/Fennec.git 依赖组件 Fennec的正常工作需要依赖于osquery info,可选trace、debug、info、error -o, --output <FILE> 设置输出文件名,默认为ABDULRHMAN-PC.zip --osquery-path <PATH> 设置osquery路径,默认为.
74410编辑于 2022-06-08 - 来自专栏debugeeker的专栏
最后防线:三款开源HIDS应用对比评估
本文仅从应用角度评估Wazuh, Osquery, AgentSmith这三款HIDS,针对企业立马使用HIDS,或者包装成方案的场景。 Osquery: 用于Windows、OS X(MacOS)、Linux和FreeBSD的操作系统工具框架, 使低级操作系统分析和监控既有性能又直观。 进行分类重整化,关联分析 报表平台:展示规则分析的结果 从架构来看: Wazuh: 有agent 有管理端 有规则分析中心,也有分析规则 集成ELK里展示报表 Osquery
1.6K20发布于 2021-09-10 - 来自专栏PingCAP的专栏
TiQuery:All Diagnosis in SQL | TiDB Hackathon 优秀项目分享
方案的主要灵感是来自 facebook 的开源项目 osquery,它能把系统的各种信息(CPU,内存,文件,挂载,设备,网络连接,crontab,ulimit,iptable,等等等等)整理成结构化数据并支持以 因为有 facebook/osquery 这个强力项目做后盾,基本上不存在翻车的可能。做完 osquery 后,计划的其他部分可以到时候根据情况决定要不要做,可以说是既稳又浪。 实用性强。 下午我们加入了 osquery-agent 服务负责从不同节点搜集上报系统信息,并用脚本把 osquery 的所有 schema 转成了 MySQL 兼容的形式导入进 TiDB。 osquery-agent 变身成 tiquery-agent,除了 wrap osquery 之外还上报节点所运行的所有服务信息。 完善异常处理,重构,文档的完善 更多 schema 支持,包括日志文件,prometheus metrics 等 tidb-ansible 集成,包括部署 tiquery-agent 服务,配置生成,安装 osquery
83630发布于 2018-12-13 - 来自专栏HelloGitHub
下一代工具链「GitHub 热点速览 v.22.43」
GitHub 地址→https://github.com/Textualize/textual 2.2 入侵检测工具包:osquery-defense-kit 本周 star 增长数:150+,主语言 :Makefile New osquery 是 Facebook 开源基于 SQL 的操作系统检测和监控框架,可基于 SQL 的查询来查询系统数据,比如正在运行的进程、打开的网络连接…而 osquery-defense-kit 则是为 osquery 准备的可用于生成环境的监测和响应查询语句。 GitHub 地址→https://github.com/chainguard-dev/osquery-defense-kit 2.3 内容管理系统:outstatic 本周 star 增长数:750
63320编辑于 2022-12-30 - 来自专栏糖果的实验室
HIDS系统存储方案探索与实践
我们用OSQuery举例,用开源方案说明问题, 可以脱敏。 OSQuery是将主机各种类型的Audit信息,统一管理成了二维表(Virtual Table),提供了一个SQL查询引擎提供查询。 ? OSQuery架构图 数据收集:面对各种主机审计数据源,系统必须要有一个数据收集能力。 OSQuery或是自研的Agent相当于图中的go-audit, 都是系统审计日志Client客户端调用者。 开源Agent方案:AuditBeat、OSQuery、NxLog等等,可以根据规模和平台的大小进行选择,各种入侵检测方案。
1.7K30发布于 2019-12-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号