Cómo instalar y usar Osquery en Ubuntu

Úsquería es una utilidad de software de código abierto y plataforma que se puede utilizar para exponer un sistema operativo como una base de datos relacional. Podemos obtener datos del sistema operativo ejecutando consultas basadas en SQL. En este blog veremos cómo instalar Úsquería en Ubuntu y cómo usarlo para obtener datos del sistema operativo.

Instalación de Osquery en Ubuntu

Úsquería Los paquetes no están disponibles en el repositorio de Ubuntu predeterminado, por lo que antes de instalarlo tenemos que agregar el Úsquería Apt Repositorio ejecutando el siguiente comando en el terminal.

ubuntu@ubuntu: ~ $ echo "Deb [arch = amd64] https: // pkg.Úsquería.IO/Deb deb Main "|
Sudo Tee/etc/apt/fuentes.lista.D/OSQUERY.lista

Ahora importaremos la clave de firma ejecutando el siguiente comando en el terminal.

ubuntu@ubuntu: ~ $ sudo apt-key adv-keyserver keyserver.ubuntu.comunicarse
--Recv-Keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

Después de importar la clave de firma, ahora actualice su sistema ejecutando el siguiente comando en el terminal.

ubuntu@ubuntu: ~ $ sudo apt-get actualización

Ahora instalar Úsquería ejecutando el siguiente comando

ubuntu@ubuntu: ~ $ sudo apt-get install oSquery

Después de instalar Úsquería, Ahora tenemos que verificar si se ha instalado correctamente ejecutando el siguiente comando

ubuntu@ubuntu: ~ $ Osqueryi --version

Si da la siguiente salida, se instala correctamente

Usando Osquery

Ahora, después de instalar, estamos listos para usar Úsquería. Ejecute el siguiente comando para ir a la solicitud de shell interactiva

ubuntu@ubuntu: ~ $ Osqueryi

Obteniendo ayuda

Ahora podemos ejecutar consultas basadas en SQL para obtener datos del sistema operativo. Podemos obtener ayuda sobre Úsquería ejecutando el siguiente comando en el shell interactivo.

Osquery> .ayuda

Conseguir todas las mesas

Como se mencionó anteriormente, Úsquería Expone los datos del sistema operativo como una base de datos relacional, por lo que tiene todos los datos en forma de tablas. Podemos obtener todas las tablas ejecutando el siguiente comando en el shell interactivo

Osquery> .mesas

Como podemos ver que al ejecutar el comando anterior podemos obtener un montón de tablas. Ahora podemos obtener datos de estas tablas ejecutando consultas basadas en SQL.

Enumerar información sobre todos los usuarios

Podemos ver toda la información sobre los usuarios ejecutando el siguiente comando en el shell interactivo

OSQUERY> SELECCIONAR * DE USUARIOS;

El comando anterior mostrará GID, UID, descripción, etc. de todos los usuarios

También podemos extraer solo los datos relevantes sobre los usuarios, por ejemplo, queremos ver solo a los usuarios y no otra información sobre los usuarios. Ejecute el siguiente comando en el shell interactivo para obtener los nombres de usuario

OSQUERY> Seleccionar nombre de usuario de los usuarios;

El comando anterior mostrará a todos los usuarios de su sistema

Del mismo modo, podemos obtener nombres de usuario junto con el directorio en el que existe el usuario ejecutando el siguiente comando.

Osquery> Seleccionar nombre de usuario, directorio de usuarios;

Del mismo modo, podemos consultar tantos campos como queramos ejecutando los comandos similares.

También podemos obtener todos los datos de usuarios específicos. Por ejemplo, queremos obtener toda la información sobre el usuario root. Podemos obtener toda la información sobre el usuario raíz ejecutando el siguiente comando.

OSQUERY> SELECCIONAR * DE USUARIOS WHERE USERNAME = "ROOT";

También podemos obtener datos específicos de campos específicos (columnas). Por ejemplo, queremos obtener la identificación del grupo y el nombre de usuario del usuario root. Ejecute el siguiente comando para obtener estos datos.

Osquery> Seleccionar nombre de usuario, GID de usuarios donde username = "root"

De esta manera podemos consultar todo lo que queramos de una mesa.

Enumerar todos los procesos

Podemos enumerar los primeros cinco procesos que se ejecutan en Ubuntu ejecutando el siguiente comando en el shell interactivo

OSQUERY> SELECT * DEL LIMITO DE PROCESOS 5;

Como hay muchos procesos que se ejecutan en el sistema, solo hemos mostrado solo cinco procesos mediante la palabra clave Limit.

Podemos encontrar la ID de proceso de un proceso específico, por ejemplo, queremos encontrar la ID de proceso de MongoDB para que ejecutaremos el siguiente comando en el shell interactivo

Osquery> Seleccione PID de procesos donde name = "MongoD";

Encontrar la versión de Ubuntu

Podemos encontrar la versión de nuestro sistema ubuntu ejecutando el siguiente comando en el shell interactivo

OSQUERY> SELECT * de OS_VERSION;

Nos mostrará la versión de nuestro sistema operativo

Verificación de interfaces de red y direcciones IP

Podemos verificar la dirección IP, la máscara de subred de las interfaces de red ejecutando la siguiente consulta en el shell interactivo.

OSQUERY> Seleccionar interfaz, dirección, máscara de interface_addresses
Donde la interfaz no le gusta '%lO%';

Verificar los usuarios registrados

También podemos verificar los usuarios iniciados en su sistema consultando datos de la tabla 'logged_in_users'. Ejecute el siguiente comando para encontrar los usuarios registrados en los usuarios.

OSQUERY> Seleccionar usuario, host, tiempo de logged_in_users donde tty no le gusta '-';

Memoria del sistema de control

También podemos verificar la memoria total, la memoria de memoria libre en caché, etc. ejecutando algún comando basado en SQL en el shell interactivo. Para verificar la memoria total, ejecute el siguiente comando. Esto nos dará memoria total del sistema en bytes.

OSQUERY> SELECCIONE MEMORY_TOTAL DE MEMY_INFO;

Para verificar la memoria gratuita de su sistema, ejecute la siguiente consulta en la carcasa interactiva

Osquery> Seleccione Memory_Free de Memory_info;

Cuando ejecutamos el comando anterior, nos dará memoria gratuita disponible en nuestro sistema

También podemos verificar la memoria en caché del sistema utilizando la tabla Memory_info ejecutando la siguiente consulta.

OSQUERY> SELECCIONE COCHED DE MACEME_INFO;

Enumerando los grupos

Podemos encontrar todos los grupos en su sistema ejecutando la siguiente consulta en el caparazón interactivo

OSQUERY> SELECT * de los grupos;

Mostrar puertos de escucha

Podemos mostrar todos los puertos de escucha de nuestro sistema ejecutando el siguiente comando en el shell interactivo

OSQUERY> SELECCIONAR * DE LA ACEDIÓN_PORTS;

También podemos verificar si un puerto está escuchando o no ejecutando el siguiente comando en el shell interactivo

Osquery> Seleccionar puerto, dirección de escuchar_ports donde puerto = 27017;

Esto nos dará la salida como se muestra en la siguiente figura

Conclusión

Úsquería es una utilidad de software muy útil para encontrar cualquier tipo de información sobre su sistema. Si ya conoce las consultas basadas en SQL, entonces es muy fácil de usar para usted o si no tiene conocimiento de las consultas basadas en SQL, entonces he intentado mostrarle algunas consultas importantes que son útiles para encontrar datos. Puede encontrar cualquier tipo de datos de cualquier tabla ejecutando consultas similares.