Phenquestions
Abychom zachovali stručnost tohoto výukového programu, nebudeme se ponořit hluboko do „co“ a „jak“ v zásobníku ELK. Místo toho budeme rychle a přímočaře diskutovat o tom, jak ji používat s Osquery. Budeme také předpokládat, že máte pracovní znalost jazyka SQL - bez ohledu na poskytovanou příručku).
Co je to Osquery?
Osquery, vyvinutý společností Facebook, je multiplatformní open-source nástroj používaný k dotazování a monitorování systémů pomocí dotazů založených na SQL.
Osquery může komunikovat se systémem a shromažďovat podrobné informace, jako je využití paměti, spuštěné procesy, načtené moduly jádra, hardwarové události, síťová připojení atd. Nástroj běží na všech systémech, včetně Windows, Linux, Mac a BSD.
Pomocí Osquery můžete vytvářet dotazy SQL, které zobrazují informace o systému, a pomocí těchto informací monitorovat a analyzovat shromážděná data.
Jak nainstalovat Osquery na systémy Debian
Instalace Osquery na systémy Debian je velmi snadná, a přestože není k dispozici v hlavních úložištích Debianu, přidání je docela jednoduché.
Podívejme se na první metodu, kterou můžete použít k instalaci Osquery na Debian:
Prvním a nejjednodušším krokem je stažení instalačního programu deb z hlavní stránky:
https: // bal.osquery.io / deb / osquery_4.6.0-1.linux_amd64.deb
wget https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.debsudo dpkg -i osquery_4.6.0-1.linux_amd64.deb
Výše uvedenou metodu doporučujeme, protože balíčky deb mají velmi málo závislostí na většině distribucí Debianu. Chcete-li však přidat do apt, použijte další metodu.
Chcete-li nainstalovat Osquery z úložišť, zadejte následující příkazy.
exportovat OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver hkp: // keyserver.ubuntu.com: 80 --recv-keys $ OSQUERY_KEY
sudo add-apt-repository 'deb [arch = amd64] https: // pkg.osquery.io / deb deb main '
sudo apt-get aktualizace
sudo apt-get install osquery
Jak používat Osquery v Debianu 10
Než se ponoříme hluboko do budování automatizovaných skriptů a práce se zásobníkem ELK, proberme si několik jednoduchých použití Osquery v místním systému.
Osquery má tři hlavní komponenty, které můžete použít k interakci s API.
Osquery: První složkou je osqueryi, interaktivní relace prostředí. Režim osqueryi je zcela samostatný a nevyžaduje interakci s démonem Osquery-Osquery. Pomocí režimu osqueryi můžete interaktivně spouštět dotazy SQL a prozkoumat aktuální systém podobně jako prostředí SQL.
POZNÁMKA: Osquery respektuje uživatelské prostory a pokud spustíte shell jako běžný uživatelský režim, nebudete mít přístup k privilegovaným tabulkám.
Osqueryd: Druhou součástí je osqueryd, démon Osquery, který se používá k plánování dotazů a zaznamenávání změn stavu na pozadí. Démon pracuje tak, že agreguje výsledky dotazu provedené v určitém časovém rámci a generuje protokoly používané k porovnání změn stavu každého dotazu.
Osqueryctl: Třetí komponentou je Osqueryctl, pomocný skript používaný k testování konfigurace nasazení. Můžete jej také použít jako správce služeb Osquery, který vám umožní spustit a zastavit službu.
Po vybalení z krabice není Osquery nic jiného než jednoduchý nástroj pro dotazování informací o systému. Když však zkombinujete dotazy a vytvoříte dobře seřazená a agregovaná data, stane se více než nástrojem pro dotazy.
Abychom se dostali, pojďme začít základy, abychom pochopili, jak to funguje:
Prvním krokem je získání pomoci s příkazem:
sudo osqueryd --helpTento příkaz zobrazí nápovědu démona Osquery se seznamem argumentů, které můžete v shellu použít.
Dalším a nejjednodušším způsobem interakce s Osquery je použití relace osqueryi. Například pokud spustíte příkaz osqueryi bez argumentu, přejdete do prostředí podobného SQL:
sudo osqueryiUvnitř prostředí osqueryi můžete spustit příkazy a syntaxi SQL a vybrat konkrétní informace o systému.
Chcete-li zobrazit režim nápovědy uvnitř prostředí osqueryi, použijte příkaz:
osquery> .PomocProvedení tohoto příkazu by mělo zobrazit nápovědu týkající se relace Osquery.
Protože Osquery je mapovač relačních databází pro váš systém, obsahuje seznam tabulek, pomocí kterých můžete vybrat informace z dotazů SQLite.
POZNÁMKA: Dotazy na Osquery jsou založeny na SQLite. Pokud Osquery neposkytuje dostatek informací, můžete nahlédnout do jeho dokumentace:
https: // www.sqlite.org / index.html
Uvnitř prostředí osqueryi použijte příkaz:
osquery> .tabulkyTento příkaz uvádí seznam dostupných tabulek obsahujících systémové informace.
Odtud můžete vybrat informace z dostupných schémat. Například si můžete prohlédnout informace o překladačích DNS.
SELECT * FROM dns_resolvers;V závislosti na schématu, na které se dotazujete, získáte informace o lodi a možná budete muset použít kombinaci dotazů SQL, abyste to pochopili.
Další informace o tabulkách a schématech Osquery se dozvíte z následujícího zdroje:
https: // osquery.io / schéma / 4.6.0 /
Základní průvodce SQL
Osquery funguje pomocí dotazů na syntaxi SQLite ke shromažďování informací o systému. Netuším, proč si Facebook vybral tuto cestu, ale funguje to.
Tento jednoduchý výukový program probere základy SQLite, aby vysvětlil, jak jej můžete použít k interakci s Osquery.
POZNÁMKA: To v žádném případě nemá být vodítkem pro SQL nebo související jazyky. Další příručky specifické pro jazyk najdete v primární dokumentaci.
Výběr konkrétních položek z tabulky
Pomocí základní syntaxe SQLite můžeme vybrat konkrétní informace z tabulky pomocí příkazu SELECT, jak je znázorněno:
VYBRAT pid, jméno, cestu FROM procesů;Přidání funkcí SQL
Osquery také podporuje funkce SQL, což vám umožňuje provádět různé akce s daty shromážděnými z dotazů.
Funkce počítání vám například umožňuje zobrazit počet uživatelů ve vašem systému.
VYBERTE POČET (*) OD uživatelů;Tento příkaz vrátí celkový počet uživatelů v systému.
Schopnost společnosti Osquery používat syntaxi SQL je obrovská výhoda, která vám může pomoci vytvořit složité datové sady, které vám poskytnou podrobnější analýzu systému. Vytváří také most, který mohou vývojáři SQL využívající motory jako PostgreSQL, MySQL a další snadno přizpůsobit.
https: // osquery.readthedocs.io / en / stabilní / úvod / sql /
Zábavný, vedlejší projekt
Když prozkoumáte Osquery dále a experimentujete s ním, zjistíte, že jde o komplexní a výkonný nástroj, který usnadňuje vytváření projektů speciálně vyladěných pro monitorování vašich systémů.
Kvůli rozsahu tohoto tutoriálu a aby se zabránilo matoucím začátečníkům, nebudeme se ponořit do složitých projektů. To je uvedeno, zde je několik nástrojů, které můžete vytvořit pomocí Osquery:
- Sbírejte protokoly pomocí Logstash
- Vytvořte řídicí panel systémového monitoru pomocí Elasticsearch, Logstash a Kibana.
- Vybudujte s Kolidem flotilu Osquery
https: // osquery.readthedocs.io / en / stable / deployment / log-aggregation /
https: // www.elastický.co / guide / en / beats / filebeat / 7.10 / filebeat-module-osquery.html
https: // github.com / fleetdm / fleet
Závěr
V tomto kurzu jsme se podívali na základy Osquery, včetně toho, jak jej použít ke shromažďování systémových informací.
I když není komplexní, cílem této příručky je poskytnout vám rychlý a přímý úvod do Osquery; v žádném případě to nebyl referenční průvodce.
Neváhejte použít další zdroje k získání hlubšího porozumění různým konceptům, o kterých jsme hovořili v tomto kurzu.
