Phenquestions
Norėdami, kad ši instrukcija būtų glausta, mes nenagrinėsime giliai į „ką“ ir „kaip“ ELK kamino. Vietoj to, mes greitai ir tiesmukai aptarsime, kaip jį naudoti su „Osquery“. Taip pat manysime, kad jūs turite pakankamai žinių apie SQL - nepaisant pateikto vadovo).
Kas yra Osquery?
„Facebook“ sukurtas „Osquery“ yra kelių platformų atvirojo kodo įrankis, naudojamas sistemoms atlikti užklausoms ir stebėjimui naudojant SQL pagrįstas užklausas.
„Osquery“ gali sąveikauti su sistema ir rinkti išsamią informaciją, pvz., Apie atminties naudojimą, vykdomus procesus, įkeltus branduolio modulius, aparatūros įvykius, tinklo ryšius ir kt. Įrankis veikia visose sistemose, įskaitant „Windows“, „Linux“, „Mac“ ir BSD.
Naudodami „Osquery“ galite sukurti SQL užklausas, rodančias informaciją apie sistemą, ir naudoti šią informaciją stebint ir analizuojant surinktus duomenis.
Kaip įdiegti „Osquery“ į „Debian“ sistemas
„Osquery“ diegimas „Debian“ sistemose yra labai paprastas ir, nors jo nėra pagrindinėse „Debian“ saugyklose, pridėti jį gana paprasta.
Pažvelkime į pirmąjį metodą, kurį galite naudoti įdiegdami „Osquery“ „Debian“:
Pirmas ir paprasčiausias žingsnis yra atsisiųsti deb diegimo programą iš pagrindinio puslapio:
https: // pkg.osquery.io / deb / osquery_4.6.0–1.linux_amd64.deb
wget https: // pkg.osquery.io / deb / osquery_4.6.0–1.linux_amd64.debsudo dpkg -i osquery_4.6.0–1.linux_amd64.deb
Mes rekomenduojame aukščiau pateiktą metodą, nes deb paketai labai mažai priklauso nuo daugumos Debian paskirstymų. Tačiau jei norite įtraukti į apt, naudokite kitą metodą.
Įveskite šias komandas, kad įdiegtumėte „Osquery“ iš saugyklų.
eksportuoti OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver hkp: // raktų serveris.ubuntu.com: 80 - recv-keys $ OSQUERY_KEY
sudo add-apt-repository 'deb [arch = amd64] https: // pkg.osquery.io / deb deb main “
sudo apt-get atnaujinimas
sudo apt-get install osquery
Kaip naudoti „Osquery“ „Debian 10“
Prieš gilindamiesi į automatinių scenarijų kūrimą ir darbą su ELK kaminu, aptarkime keletą paprastų „Osquery“ naudojimo vietinėje sistemoje.
„Osquery“ turi tris pagrindinius komponentus, kuriuos galite naudoti sąveikaudami su API.
Oskaras: Pirmasis komponentas yra osqueryi, interaktyvus apvalkalo seansas. „Osqueryi“ režimas yra visiškai atskiras ir nereikalauja sąveikos su „Osquery-Osquery“ demonu. Naudodami „osqueryi“ režimą, galite interaktyviai vykdyti SQL užklausas ir ištirti dabartinę sistemą, panašią į SQL apvalkalą.
PASTABA: „Osquery“ gerbia vartotojo erdves ir, jei paleidžiate apvalkalą kaip įprastą vartotojo režimą, neturėsite prieigos prie privilegijuotų lentelių.
Osqueryd: Kitas komponentas yra osqueryd, „Osquery“ demonas, naudojamas planuoti užklausas ir įrašyti būsenos pokyčius fone. Demonas veikia kaupdamas užklausos rezultatus, įvykdytus per tam tikrą laikotarpį, ir generuoja žurnalus, naudojamus kiekvienos užklausos būsenos pokyčiams palyginti.
Osqueryctl: Trečiasis komponentas yra „Osqueryctl“, pagalbinis scenarijus, naudojamas diegimo konfigūracijai išbandyti. Taip pat galite jį naudoti kaip „Osquery“ paslaugų valdytoją, leidžiantį paleisti ir sustabdyti paslaugą.
„Osquery“ yra ne kas kita, o paprastas įrankis informacijos apie sistemą pateikimui. Tačiau kai sujungsite užklausas, kad sukurtumėte gerai surūšiuotus ir suvestinius duomenis, tai tampa ne tik užklausos įrankiu.
Norėdami sužinoti, pradėkite nuo pagrindų, kad suprastume, kaip tai veikia:
Pirmas žingsnis - gauti pagalbos dėl komandos:
sudo osqueryd - pagalbaŠi komanda parodys „Osquery“ demono pagalbą su argumentų, kuriuos galite naudoti apvalkale, sąrašu.
Kitas ir paprasčiausias būdas bendrauti su „Osquery“ yra „osqueryi“ seansas. Pvz., Jei vykdote komandą osqueryi be argumento, pateksite į panašų į SQL apvalkalą:
sudo osqueryi„Osqueryi“ apvalkalo viduje galite vykdyti komandas ir SQL sintaksę, kad pasirinktumėte konkrečią informaciją apie sistemą.
Norėdami peržiūrėti pagalbos režimą „osqueryi“ apvalkalo viduje, naudokite komandą:
osquery> .pagalbaVykdant šią komandą turėtų būti rodoma pagalba, susijusi su „Osquery“ sesija.
Kadangi „Osquery“ yra reliacinis jūsų sistemos duomenų bazių žemėlapis, jame yra lentelių sąrašas, kurį galite naudoti norėdami pasirinkti informaciją naudodami „SQLite Queries“.
PASTABA: „Osquery“ užklausos yra pagrįstos SQLite. Jei „Osquery“ nepateikia pakankamai informacijos, galite kreiptis į jo dokumentaciją:
https: // www.sqlite.org / index.HTML
„Osqueryi“ apvalkalo viduje naudokite komandą:
osquery> .stalaiŠi komanda pateikia galimas lenteles, kuriose yra sistemos informacija.
Iš ten galite pasirinkti informaciją iš galimų schemų. Pvz., Peržiūrėkite informaciją apie DNS sprendiklius.
PASIRINKTI * IŠ dns_resolvers;Priklausomai nuo schemos, dėl kurios pateikiate užklausą, gausite daug informacijos, todėl jos supratimui gali reikėti naudoti SQL užklausų derinį.
Daugiau apie „Osquery“ lenteles ir schemas galite sužinoti iš šio šaltinio:
https: // osquery.io / schema / 4.6.0 /
Pagrindinis SQL vadovas
„Osquery“ veikia naudodamas SQLite sintaksės užklausas, kad surinktų informaciją apie sistemą. Neįsivaizduoju, kodėl „Facebook“ pasirinko šį maršrutą, bet jis veikia.
Šioje paprastoje pamokoje bus aptarti „SQLite“ pagrindai, paaiškinantys, kaip ją naudoti sąveikaujant su „Osquery“.
PASTABA: Tai jokiu būdu nereiškia, kad yra SQL ar susijusių kalbų vadovas. Norėdami gauti daugiau kalbų, kreipkitės į pirminę dokumentaciją.
Konkrečių įrašų pasirinkimas iš lentelės
Naudodami pagrindinę SQLite sintaksę, galime pasirinkti konkrečią informaciją iš lentelės naudodami SELECT sakinį, kaip parodyta:
SELECT pid, vardas, kelias iš procesų;SQL funkcijų pridėjimas
„Osquery“ taip pat palaiko SQL funkcijas, leidžiančias atlikti įvairius veiksmus su duomenimis, surinktais iš užklausų.
Pavyzdžiui, skaičiavimo funkcija gali leisti peržiūrėti jūsų sistemos vartotojų skaičių.
PASIRINKITE SKAIČIŲ (*) IŠ vartotojų;Ši komanda grąžins bendrą sistemos vartotojų skaičių.
„Osquery“ galimybė naudoti SQL sintaksę yra didžiulis pranašumas, kuris gali padėti sukurti sudėtingus duomenų rinkinius, kurie gali suteikti jums išsamesnę sistemos analizę. Tai taip pat sukuria tiltą, kurį SQL kūrėjai, naudojantys tokius variklius kaip „PostgreSQL“, „MySQL“ ir kiti, gali lengvai pritaikyti.
https: // osquery.skaityti dokumentai.io / lt / stabilus / įvadas / sql /
Linksmas, šalutinis projektas
Toliau tyrinėdami „Osquery“ ir eksperimentuodami sužinosite, kad tai yra išsamus ir galingas įrankis, leidžiantis lengvai kurti projektus, specialiai pritaikytus jūsų sistemoms stebėti.
Dėl šios mokymo programos apimties ir siekdami išvengti painiavos pradedantiesiems, nesigilinsime į sudėtingus projektus. Minėta, čia yra keletas įrankių, kuriuos galite sukurti naudodami „Osquery“:
- Surinkite žurnalus naudodami „Logstash“
- Sukurkite sistemos stebėjimo prietaisų skydelį naudodami „Elasticsearch“, „Logstash“ ir „Kibana“.
- Sukurkite „Osquery“ parką kartu su „Kolide“
https: // osquery.skaityti dokumentai.io / lt / stabilus / diegimas / žurnalo kaupimas /
https: // www.elastinga.co / guide / lt / beats / filebeat / 7.10 / filebeat-module-osquery.HTML
https: // github.com / fleetdm / fleet
Išvada
Šioje pamokoje apžvelgėme „Osquery“ pagrindus, įskaitant tai, kaip jį naudoti renkant sistemos informaciją.
Nors šis vadovas nėra išsamus, juo siekiama greitai ir paprastai pristatyti „Osquery“; jokiu būdu tai nebuvo informacinis vadovas.
Galite laisvai naudoti kitus išteklius, kad geriau suprastumėte įvairias sąvokas, kurias aptarėme šioje pamokoje.
