写在前面

上一篇介绍了osquery的一些用法,即如何使用SQL语句查询系统信息。本文就来介绍下这个table是如何定义的,及table中的数据是如何取得的。

本文以uptime和process两张表为例。本文介绍的osquery版本是1.7.6

uptime

uptime主要用来获取系统的启动时间:

osquery> select * from uptime;

+------+-------+---------+---------+---------------+

| days | hours | minutes | seconds | total_seconds |

+------+-------+---------+---------+---------------+

| 1    | 23    | 19      | 53      | 170393        |

+------+-------+---------+---------+---------------+

uptime表中的这条数据是如何获取的呢?

一般来说,对于table的描述分为两部分。一部分是spec,一部分是impl。

  • spec用于说明表的名称、结构以及对应实现的方法,其代码主要在/specs中。
  • impl则是表的具体实现,其代码主要在/osquery/tables中。

Spec

首先来看uptime.table

table_name("uptime")

description("Track time passed since last boot.")

schema([

    Column("days", INTEGER, "Days of uptime"),

    Column("hours", INTEGER, "Hours of uptime"),

    Column("minutes", INTEGER, "Minutes of uptime"),

    Column("seconds", INTEGER, "Seconds of uptime"),

    Column("total_seconds", BIGINT, "Total uptime seconds"),

])

implementation("system/uptime@genUptime")

可以看到uptime表有5列,分别是days,hours,minutes,seconds,total_seconds。

其实现的代码是system/uptime中的genUptime函数。

Impl

那么直接来看具体实现uptime.cpp

QueryData genUptime(QueryContext& context) {

  Row r;

  QueryData results;

  long uptime_in_seconds = getUptime(); //获取启动的时间(根据不同的系统,有不同的方法获取)

  if (uptime_in_seconds >= 0) {

    r["days"] = INTEGER(uptime_in_seconds / 60 / 60 / 24);

    r["hours"] = INTEGER((uptime_in_seconds / 60 / 60) % 24);

    r["minutes"] = INTEGER((uptime_in_seconds / 60) % 60);

    r["seconds"] = INTEGER(uptime_in_seconds % 60);

    r["total_seconds"] = BIGINT(uptime_in_seconds);

    results.push_back(r);

  }

  return results;

}
  • Row r是一行数据,其对应于SQL查询结果的一行,包含有该表的每一列。
  • QueryData results是SQL查询返回的所有查询结果的集合,可以包含若干行。

可以看到该函数是首先获取启动时间,然后在行Row r中对应的字段填入相应的数据。

之后将结果通过results.push_back(r);填入到返回数据中,然后最终返回查询的结果。

因为uptime表只是获取对应的时间,所以只有一行。这里genUptime也就对应只填写了一行进行返回。

uptime是一个比较简单的表,下面对一个更为复杂的表processes进行分析。

Process

processes表相对来说,就复杂一些,其提供了正在running的进程的相关信息。

spec

首先来看processes.table

可以看到该表包含了很多列。这里就不一一介绍了。

table_name("processes")

description("All running processes on the host system.")

schema([

    Column("pid", BIGINT, "Process (or thread) ID", index=True),

    Column("name", TEXT, "The process path or shorthand argv[0]"),

    Column("path", TEXT, "Path to executed binary"),

    Column("cmdline", TEXT, "Complete argv"),

    Column("state", TEXT, "Process state"),

    Column("cwd", TEXT, "Process current working directory"),

    Column("root", TEXT, "Process virtual root directory"),

    Column("uid", BIGINT, "Unsigned user ID"),

    Column("gid", BIGINT, "Unsigned group ID"),

    Column("euid", BIGINT, "Unsigned effective user ID"),

    Column("egid", BIGINT, "Unsigned effective group ID"),

    Column("suid", BIGINT, "Unsigned saved user ID"),

    Column("sgid", BIGINT, "Unsigned saved group ID"),

    Column("on_disk", INTEGER,

        "The process path exists yes=1, no=0, unknown=-1"),

    Column("wired_size", BIGINT, "Bytes of unpagable memory used by process"),

    Column("resident_size", BIGINT, "Bytes of private memory used by process"),

    Column("phys_footprint", BIGINT, "Bytes of total physical memory used"),

    Column("user_time", BIGINT, "CPU time spent in user space"),

    Column("system_time", BIGINT, "CPU time spent in kernel space"),

    Column("start_time", BIGINT,

        "Process start in seconds since boot (non-sleeping)"),

    Column("parent", BIGINT, "Process parent's PID"),

    Column("pgroup", BIGINT, "Process group"),

    Column("nice", INTEGER, "Process nice level (-20 to 20, default 0)"),

])

implementation("system/processes@genProcesses")

examples([

  "select * from processes where pid = 1",

])

可以看到起其实现是processes中的genProcesses函数。

Impl

processes中的genProcesses函数为不同系统提供了不同的实现。本文主要是从linux/processes.cpp来做分析。

首先看实现函数genProcesses

QueryData genProcesses(QueryContext& context) {

  QueryData results;

  auto pidlist = getProcList(context);

  for (const auto& pid : pidlist) {

    genProcess(pid, results);

  }

  return results;

}

可以看到该函数主要有两部分。

  1. 根据context获取pid列表
  2. 根据pid列表依次获取每个pid的信息

获取pid列表

getProcList函数主要是根据context获取pid列表。

std::set<std::string> getProcList(const QueryContext& context) {

  std::set<std::string> pidlist;

  if (context.constraints.count("pid") > 0 &&

      context.constraints.at("pid").exists(EQUALS)) {

    for (const auto& pid : context.constraints.at("pid").getAll(EQUALS)) {

      if (isDirectory("/proc/" + pid)) {

        pidlist.insert(pid);

      }

    }

  } else {

    osquery::procProcesses(pidlist);

  }

  return pidlist;

}

从代码里可以看到,这里可以根据查询条件进行筛选。如果查询条件里面有where pid=xxxx的时候,即符合了

if (context.constraints.count("pid") > 0 && context.constraints.at("pid").exists(EQUALS))的条件,因此只需要将该pid加入到pidList中。

这一步的好处在于如果有where pid=xxxx的条件,就不需要检索所有的pid,只需要去获取特定的pid信息就可以了。

如果没有这种限制条件,则去获取所有的pid。获取的方法是procProcesses函数:

const std::string kLinuxProcPath = "/proc";

Status procProcesses(std::set<std::string>& processes) {

  // Iterate over each process-like directory in proc.

  boost::filesystem::directory_iterator it(kLinuxProcPath), end;

  try {

    for (; it != end; ++it) {

      if (boost::filesystem::is_directory(it->status())) {

        // See #792: std::regex is incomplete until GCC 4.9

        if (std::atoll(it->path().leaf().string().c_str()) > 0) {

          processes.insert(it->path().leaf().string());

        }

      }

    }

  } catch (const boost::filesystem::filesystem_error& e) {

    VLOG(1) << "Exception iterating Linux processes " << e.what();

    return Status(1, e.what());

  }

  return Status(0, "OK");

}

可以看到,获取所有的pid就是遍历/proc下的所有文件夹,判断文件夹是不是纯数字,如果是,则加入到processes集合里。

获取process的信息

有了pidList,接下来就是根据pidList,依次获取每个pid的信息。

void genProcess(const std::string& pid, QueryData& results) {

  // Parse the process stat and status.

  auto proc_stat = getProcStat(pid);

  Row r;

  r["pid"] = pid;

  r["parent"] = proc_stat.parent;

  r["path"] = readProcLink("exe", pid);

  r["name"] = proc_stat.name;

  r["pgroup"] = proc_stat.group;

  r["state"] = proc_stat.state;

  r["nice"] = proc_stat.nice;

  // Read/parse cmdline arguments.

  r["cmdline"] = readProcCMDLine(pid);

  r["cwd"] = readProcLink("cwd", pid);

  r["root"] = readProcLink("root", pid);

  r["uid"] = proc_stat.real_uid;

  r["euid"] = proc_stat.effective_uid;

  r["suid"] = proc_stat.saved_uid;

  r["gid"] = proc_stat.real_gid;

  r["egid"] = proc_stat.effective_gid;

  r["sgid"] = proc_stat.saved_gid;

  // If the path of the executable that started the process is available and

  // the path exists on disk, set on_disk to 1. If the path is not

  // available, set on_disk to -1. If, and only if, the path of the

  // executable is available and the file does NOT exist on disk, set on_disk

  // to 0.

  r["on_disk"] = osquery::pathExists(r["path"]).toString();

  // size/memory information

  r["wired_size"] = "0"; // No support for unpagable counters in linux.

  r["resident_size"] = proc_stat.resident_size;

  r["phys_footprint"] = proc_stat.phys_footprint;

  // time information

  r["user_time"] = proc_stat.user_time;

  r["system_time"] = proc_stat.system_time;

  r["start_time"] = proc_stat.start_time;

  results.push_back(r);

}

可以看到首先是用getProcStat函数获取pid的信息。

这里getProcStat函数就不展开分析了,其主要就是读取/proc/<pid>/stat文件,然后将对应的字段获取出来。

然后genProcess函数将从getProcStat获取到的信息,填入到行r中的对应列,最后将行r加到返回的结果集中。

Facebook开源的基于SQL的操作系统检测和监控框架:osquery Table详解的更多相关文章

  1. Facebook开源的基于SQL的操作系统检测和监控框架:osquery daemon详解

    osqueryd osqueryd(osquery daemon)是可以定期执行SQL查询和记录系统状态改变的驻守程序. osqueryd能够根据配置手机归档查询结果,并产生日志. 同时也可以使用系统 ...

  2. Facebook开源的基于SQL的操作系统检测和监控框架:osquery

    osquery简介 osquery是一款由facebook开源的,面向OSX和Linux的操作系统检测框架. osquery顾名思义,就是query os,允许通过使用SQL的方式来获取操作系统的数据 ...

  3. [转帖]技术扫盲:新一代基于UDP的低延时网络传输层协议——QUIC详解

    技术扫盲:新一代基于UDP的低延时网络传输层协议——QUIC详解    http://www.52im.net/thread-1309-1-1.html   本文来自腾讯资深研发工程师罗成的技术分享, ...

  4. Android中实现java与PHP服务器(基于新浪云免费云平台)http通信详解

    Android中实现java与PHP服务器(基于新浪云免费云平台)http通信详解 (本文转自: http://blog.csdn.net/yinhaide/article/details/44756 ...

  5. SQL Server中通用数据库角色权限的处理详解

    SQL Server中通用数据库角色权限的处理详解 前言 安全性是所有数据库管理系统的一个重要特征.理解安全性问题是理解数据库管理系统安全性机制的前提. 最近和同事在做数据库权限清理的事情,主要是删除 ...

  6. SQL Server中排名函数row_number,rank,dense_rank,ntile详解

    SQL Server中排名函数row_number,rank,dense_rank,ntile详解 从SQL SERVER2005开始,SQL SERVER新增了四个排名函数,分别如下:1.row_n ...

  7. 开源一个基于dotnet standard的轻量级的ORM框架-Light.Data

    还在dotnet framework 2.0的时代,当时还没有EF,而NHibernate之类的又太复杂,并且自己也有一些特殊需求,如查询结果直接入表.水平分表和新增数据默认值等,就试着折腾个轻量点O ...

  8. SQL Server 表的管理_关于完整性约束的详解(案例代码)

    SQL Server 表的管理之_关于完整性约束的详解 一.概述: ●约束是SQL Server提供的自动保持数据库完整性的一种方法, 它通过限制字段中数据.记录中数据和表之间的数据来保证数据的完整性 ...

  9. 第三十一节,目标检测算法之 Faster R-CNN算法详解

    Ren, Shaoqing, et al. “Faster R-CNN: Towards real-time object detection with region proposal network ...

随机推荐

  1. T-SQL: 17 个与日期时间相关的自定义函数(UDF),周日作为周的最后一天,均不受 @@DateFirst、语言版本影响!

    原文:T-SQL: 17 个与日期时间相关的自定义函数(UDF),周日作为周的最后一天,均不受 @@DateFirst.语言版本影响! CSDN 的 Blog 太滥了!无时不刻地在坏! 开始抢救性搬家 ...

  2. SSMS2008插件开发(1)--介绍

    原文:SSMS2008插件开发(1)--介绍 SSMS2008就是Microsoft Sql Server Management Studio 2008的简称.许多人叫做SQL2008或SQL SER ...

  3. Routing(路由) & Multiple Views(多个视图) step 7

    Routing(路由) & Multiple Views(多个视图) step 7 1.切换分支到step7,并启动项目 git checkout step-7 npm start 2.需求: ...

  4. MVC Sesion丢失问题

    花了两个小时的时间处理一个Session 取值问题 使用MVC LoadCheckController(登录校验)登录成功后创建一个Session,Session中封装了用户的相关信息如权限基本信息, ...

  5. Asp.Net MVC 上传图片到数据库

    [读书笔记]Asp.Net MVC 上传图片到数据库(会的绕行)   之前上传图片的做法都是上传到服务器上的文件夹中,再将url保存到数据库.其实在MVC中将图片上传到数据库很便捷的事情,而且不用去存 ...

  6. web 富文本编辑器总结

    前言 富文本编辑器,就是除了能输入不同的文本之外,还可以之间粘贴图画等其他的多媒体信息.也可说是所见即所得的编辑器. 目前可以使用的编辑器有很多, 在网络上有找到这样一份比较表格: 编辑器 产地 稳定 ...

  7. C++一些注意点之转换操作符

    转换操作符定义 类可通过一个实参调用的非explicit构造函数定义一个隐式转换(其他类型—>类类型).当提供了实参类型的对象而需要一个类类型的对象时,编译器将使用该转换.这种构造函数定义了到类 ...

  8. 错误与修复:ASP.NET无法检测IE10,IE11,导致_doPostBack未定义JavaScript错误,恒处于F5卷动条位置

    <browsers>  <browser id="IE11" parentID="Mozilla">    <identifica ...

  9. Moq 测试 属性,常用方法

    RhinoMock入门(7)——Do,With和Record-playback 摘要: (一)Do(delegate)有时候在测试过程中只返回一个静态的值是不够的,在这种情况下,Do()方法可以用来在 ...

  10. Identity

    ThreadStatic应用(Identity补完)   关于Identity Identity自增序列/唯一断标识 起初做这个东西,是在一个内部组件中,用于在高并发的环境下得到一个较短的“相对”不重 ...