Phenquestions
Lai šī apmācība būtu kodolīga, mēs neiedziļināsimies ELK kaudzes “kas” un “kā”. Tā vietā mēs ātri un vienkārši apspriedīsim, kā to izmantot ar Osquery. Mēs arī pieņemsim, ka jums ir praktiskas zināšanas par SQL - neskatoties uz sniegto rokasgrāmatu).
Kas ir Osquery?
Facebook izstrādātais Osquery ir starpplatformu, atvērtā koda rīks, ko izmanto, lai vaicātu un uzraudzītu sistēmas, izmantojot SQL balstītus vaicājumus.
Osquery var mijiedarboties ar sistēmu un apkopot detalizētu informāciju, piemēram, atmiņas lietojumu, palaistos procesus, ielādētos kodola moduļus, aparatūras notikumus, tīkla savienojumus utt. Rīks darbojas visās sistēmās, ieskaitot Windows, Linux, Mac un BSD.
Izmantojot Osquery, varat izveidot SQL vaicājumus, kas parāda informāciju par sistēmu, un izmantot šo informāciju, lai uzraudzītu un analizētu savāktos datus.
Kā instalēt Osquery Debian sistēmās
Osquery instalēšana Debian sistēmās ir ļoti vienkārša, un, lai gan tā nav pieejama galvenajās Debian repos, pievienošana ir diezgan vienkārša.
Apskatīsim pirmo metodi, ko varat izmantot, lai instalētu Osquery uz Debian:
Pirmais un vienkāršākais solis ir deb instalētāja lejupielāde no galvenās lapas:
https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.deb
wget https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.debsudo dpkg -i osquery_4.6.0-1.linux_amd64.deb
Mēs iesakām iepriekš minēto metodi, jo deb paketēm ir ļoti maz atkarību no lielākās daļas Debian izplatīšanas. Tomēr, ja vēlaties pievienot apt, izmantojiet nākamo metodi.
Ievadiet šādas komandas, lai instalētu Osquery no krātuvēm.
eksportēt OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver hkp: // atslēgu serveris.ubuntu.com: 80 --recv-keys $ OSQUERY_KEY
sudo add-apt-repository 'deb [arch = amd64] https: // pkg.osquery.io / deb deb main '
sudo apt-get atjauninājums
sudo apt-get install osquery
Kā lietot Osquery uz Debian 10
Pirms ienirt dziļi automatizētu skriptu izveidē un strādāt ar ELK skursteni, apspriedīsim dažus vienkāršus Osquery lietojumus vietējā sistēmā.
Osquery ir trīs galvenie komponenti, kurus varat izmantot, lai mijiedarbotos ar API.
Osquery: Pirmais komponents ir osqueryi, interaktīva čaulas sesija. Osqueryi režīms ir pilnībā atsevišķs, un tam nav nepieciešama mijiedarbība ar Osquery-Osquery dēmonu. Izmantojot osqueryi režīmu, jūs varat interaktīvi izpildīt SQL vaicājumus un izpētīt pašreizējo sistēmu, kas līdzīga SQL čaulai.
PIEZĪME: Osquery respektē lietotāju atstarpes, un, ja jūs izmantojat čaulu kā parastu lietotāja režīmu, jums nebūs piekļuves priviliģētām tabulām.
Osqueryd: Otra sastāvdaļa ir osqueryd, Osquery dēmons, ko izmanto, lai ieplānotu vaicājumus un reģistrētu stāvokļa izmaiņas fonā. Dēmons darbojas, apkopojot vaicājuma rezultātus, kas izpildīti noteiktā laika posmā, un ģenerē žurnālus, kurus izmanto, lai salīdzinātu katra vaicājuma stāvokļa izmaiņas.
Osqueryctl: Trešais komponents ir palīgskripts Osqueryctl, ko izmanto izvietošanas konfigurācijas pārbaudei. Varat to izmantot arī kā Osquery pakalpojumu pārvaldnieku, ļaujot sākt un pārtraukt pakalpojumu.
Ārpus kastes Osquery ir nekas cits kā vienkāršs rīks informācijas vaicāšanai par sistēmu. Tomēr, apvienojot vaicājumus, lai izveidotu labi sakārtotus un apkopotus datus, tas kļūst kas vairāk par vaicājumu rīku.
Lai iegūtu rullīti, sāksim ar pamatiem, lai saprastu, kā tas darbojas:
Pirmais solis ir saņemt palīdzību ar komandu:
sudo osqueryd --helpŠī komanda parādīs Osquery dēmona palīdzību ar argumentu sarakstu, kurus varat izmantot čaulā.
Nākamais un vienkāršākais veids, kā mijiedarboties ar Osquery, ir izmantot osqueryi sesiju. Piemēram, ja izpildāt komandu osqueryi bez argumenta, jūs nokļūsit SQL līdzīgā čaulā:
sudo osqueryiOsqueryi apvalka iekšpusē varat izpildīt komandas un SQL sintaksi, lai atlasītu konkrētu informāciju par sistēmu.
Lai skatītu palīdzības režīmu osqueryi apvalkā, izmantojiet komandu:
osquery> .palīdzībaIzpildot šo komandu, jāparāda palīdzība par Osquery sesiju.
Tā kā Osquery ir relāciju datu bāzes kartētājs jūsu sistēmai, tajā ir tabulu saraksts, ko varat izmantot, lai atlasītu informāciju, izmantojot SQLite vaicājumus.
PIEZĪME: Osquery vaicājumi ir balstīti uz SQLite. Ja Osquery nesniedz pietiekami daudz informācijas, varat atsaukties uz tās dokumentāciju:
https: // www.sqlite.org / index.html
Osqueryi apvalka iekšpusē izmantojiet komandu:
osquery> .tabulasŠajā komandā ir uzskaitītas pieejamās tabulas ar sistēmas informāciju.
Tur jūs varat atlasīt informāciju no pieejamajām shēmām. Piemēram, skatiet informāciju par DNS risinātājiem.
SELECT * NO dns_resolvers;Atkarībā no shēmas, kuru vaicājat, jūs saņemsiet informāciju par kuģi, un, lai to saprastu, iespējams, būs jāizmanto SQL vaicājumu kombinācija.
Vairāk par Osquery tabulām un shēmām varat uzzināt no šī resursa:
https: // osquery.io / shēma / 4.6.0 /
Pamata SQL rokasgrāmata
Osquery darbojas, izmantojot SQLite sintakses vaicājumus, lai apkopotu informāciju par sistēmu. Man nav ne jausmas, kāpēc Facebook izvēlējās šo maršrutu, bet tas darbojas.
Šajā vienkāršajā apmācībā tiks apspriesti SQLite pamati, lai izskaidrotu, kā jūs varat to izmantot, lai mijiedarbotos ar Osquery.
PIEZĪME: Tas nekādā ziņā nav domāts kā SQL vai saistīto valodu ceļvedis. Papildinformāciju par valodām skatiet primārajā dokumentācijā.
Konkrētu ierakstu izvēle no tabulas
Izmantojot pamata SQLite sintaksi, mēs varam atlasīt noteiktu informāciju no tabulas, izmantojot SELECT, kā parādīts:
SELECT pid, nosaukums, ceļš NO procesiem;SQL funkciju pievienošana
Osquery atbalsta arī SQL funkcijas, ļaujot veikt dažādas darbības ar datiem, kas apkopoti no vaicājumiem.
Piemēram, skaitīšanas funkcija var ļaut jums skatīt lietotāju skaitu jūsu sistēmā.
SELECT COUNT (*) NO lietotājiem;Šī komanda atgriezīs kopējo lietotāju skaitu sistēmā.
Osquery spēja izmantot SQL sintaksi ir milzīga priekšrocība, kas var palīdzēt izveidot sarežģītas datu kopas, kas var sniegt jums padziļinātu sistēmas analīzi. Tas arī rada tiltu, ko SQL izstrādātāji, izmantojot tādus dzinējus kā PostgreSQL, MySQL un citus, var izmantot, lai viegli pielāgotos.
https: // osquery.lasāmie dokumenti.io / lv / stabils / ievads / sql /
Jautrs, blakus projekts
Izpētot Osquery tālāk un eksperimentējot ar to, jūs atklāsiet, ka tas ir visaptverošs un spēcīgs rīks, kas ļauj viegli izveidot projektus, kas īpaši pielāgoti jūsu sistēmu uzraudzībai.
Šīs apmācības tvēruma dēļ un lai izvairītos no iesācēju sajaukšanas, mēs neiedziļināsimies sarežģītos projektos. Minēts, šeit ir daži rīki, kurus varat izveidot, izmantojot Osquery:
- Savāc žurnālus, izmantojot Logstash
- Izveidojiet sistēmas monitora informācijas paneli ar Elasticsearch, Logstash un Kibana.
- Veidojiet Osquery floti kopā ar Kolide
https: // osquery.lasāmie dokumenti.io / lv / stabils / izvietošana / žurnāla apkopošana /
https: // www.elastīgs.co / guide / en / beats / filebeat / 7.10 / filebeat-module-osquery.html
https: // github.com / fleetdm / flote
Secinājums
Šajā apmācībā mēs apskatījām Osquery pamatus, tostarp to, kā to izmantot sistēmas informācijas apkopošanai.
Lai arī šī rokasgrāmata nav visaptveroša, tās mērķis bija ātri un vienkārši iepazīstināt ar Osquery; nekādā gadījumā tas nebija atsauces ceļvedis.
Izmantojiet citus resursus, lai iegūtu dziļāku izpratni par dažādiem jēdzieniem, kurus esam apsprieduši šajā apmācībā.
