osquery
5.14.1
Osquery عبارة عن إطار عمل يعمل على تشغيل SQL يعمل بالمراقبة والمراقبة والتحليلات.
متاح لـ Linux و MacOS و Windows.
يعرض Osquery نظام التشغيل كقاعدة بيانات علائقية عالية الأداء. يتيح لك ذلك كتابة الاستعلامات المستندة إلى SQL لاستكشاف بيانات نظام التشغيل. مع Osquery ، تمثل جداول SQL مفاهيم مجردة مثل تشغيل العمليات أو وحدات kernel المحملة أو اتصالات الشبكة المفتوحة أو المكونات الإضافية للمتصفح أو أحداث الأجهزة أو تجزئة الملفات.
يتم تنفيذ جداول SQL عبر مكون إضافي وملحقات API. مجموعة متنوعة من الجداول موجودة بالفعل وأكثر من ذلك يتم كتابة: https://osquery.io/schema. لفهم أفضل التعبير الذي توفره لك Osquery ، فكر في استعلامات SQL التالية:
قائمة users :
SELECT * FROM users; تحقق من processes التي تم حذفها قابلة للتنفيذ:
SELECT * FROM processes WHERE on_disk = 0 ;احصل على اسم العملية ، المنفذ ، و PID ، للعمليات الاستماع على جميع الواجهات:
SELECT DISTINCT processes . name , listening_ports . port , processes . pid
FROM listening_ports JOIN processes USING (pid)
WHERE listening_ports . address = ' 0.0.0.0 ' ;ابحث عن كل MacOS LaunchDaemon الذي يطلق قابلاً للتنفيذ ويبقيه قيد التشغيل:
SELECT name, program || program_arguments AS executable
FROM launchd
WHERE (run_at_load = 1 AND keep_alive = 1 )
AND (program != ' ' OR program_arguments != ' ' );تحقق من الحالات الشاذة من منظور المضيف:
SELECT address, mac, COUNT (mac) AS mac_count
FROM arp_cache GROUP BY mac
HAVING count (mac) > 1 ;بدلاً من ذلك ، يمكنك أيضًا استخدام مسابقة SQL الفرعية لإنجاز نفس النتيجة:
SELECT address, mac, mac_count
FROM
( SELECT address, mac, COUNT (mac) AS mac_count FROM arp_cache GROUP BY mac)
WHERE mac_count > 1 ;يمكن أن تكون هذه الاستفسارات:
لتنزيل أحدث عمليات البناء المستقرة وللمعلومات المستقرة وتعليمات التثبيت ، تفضل بزيارة https://osquery.io/downloads.
نستخدم مخطط الإصدار المرقم البسيط XYZ ، حيث يعد X إصدارًا رئيسيًا ، y قاصر ، و Z عبارة عن تصحيح. نحن نخطط للإصدارات البسيطة تقريبًا كل شهرين. يتم تتبع هذه الإصدارات على صفحة المعالم لدينا. يتم استخدام إصدار التصحيح عندما يكون هناك أخطاء غير متوقعة مع إصدارنا البسيط ونحن بحاجة إلى التصحيح بسرعة. يمكن استخدام إصدار "مراجعة" نادر إذا كنا بحاجة إلى تغيير تكوينات البناء.
يتم وضع علامة على الإصدارات الرئيسية والثانوية والتصحيح على github ويمكن عرضها على صفحة الإصدارات. نفتح مشكلة قائمة مرجعية جديدة عندما نقوم بإعداد إصدار بسيط. إذا كنت مهتمًا بحالة الإصدار ، فيرجى العثور على مشكلة قائمة المراجعة المقابلة ، ولاحظ أنه سيتم إغلاق المشكلة عند الانتهاء من قائمة المراجعة. نحن نعتبر إصدارًا "في الاختبار" خلال فترة استضافة التنزيلات الجديدة على موقعنا على الإنترنت وإضافتها إلى مستودعاتنا المستضافة. سنضع علامة على الإصدار باعتباره "مستقرًا" على Github عند حدوث اختبار كافٍ ، وهذا عادة ما يستغرق أسبوعين.
يتم تشجيع بناء الأوسكويري من المصدر! تحقق من دليل البناء لدينا. تحقق أيضًا من دليلنا المساهم والانضمام إلى المجتمع على Slack.
هناك العديد من مديري أسطول Osquery هناك. مشروع Osquery لا يؤيد أو يوصي أو اختبارها. يتم توفيرها كنقطة انطلاق
| مشروع | رخصة |
|---|---|
| أسطول | قلب مفتوح |
| كوليد | تجاري |
| osctrl | المصدر المفتوح |
| Zentral | المصدر المفتوح |
من خلال المساهمة في Osquery ، توافق على أن مساهماتك سيتم ترخيصها على النحو المحدد في ملف الترخيص.
نتتبع إعلانات الأمان في ملاحظات إصدار الإصدار الموسومة على Github. نحن نجمع هذه في الأمن. md أيضا.
وثائق Osquery متوفرة عبر الإنترنت. يمكن العثور على وثائق الإصدارات القديمة حسب رقم الإصدار أيضًا.
إذا كنت مهتمًا بمعرفة المزيد عن Osquery ، فاقرأ منشور مدونة الإطلاق للخلفية في المشروع ، تفضل بزيارة دليل المستخدمين.
يحدث مناقشة التنمية والاستخدام في سلاك Osquery ، والاستيلاء على دعوة هنا!
