写在前面

上一篇介绍了osquery的一些用法,即如何使用SQL语句查询系统信息。本文就来介绍下这个table是如何定义的,及table中的数据是如何取得的。

本文以uptime和process两张表为例。本文介绍的osquery版本是1.7.6

uptime

uptime主要用来获取系统的启动时间:

osquery> select * from uptime;

+------+-------+---------+---------+---------------+

| days | hours | minutes | seconds | total_seconds |

+------+-------+---------+---------+---------------+

| 1    | 23    | 19      | 53      | 170393        |

+------+-------+---------+---------+---------------+

uptime表中的这条数据是如何获取的呢?

一般来说,对于table的描述分为两部分。一部分是spec,一部分是impl。

  • spec用于说明表的名称、结构以及对应实现的方法,其代码主要在/specs中。
  • impl则是表的具体实现,其代码主要在/osquery/tables中。

Spec

首先来看uptime.table

table_name("uptime")

description("Track time passed since last boot.")

schema([

    Column("days", INTEGER, "Days of uptime"),

    Column("hours", INTEGER, "Hours of uptime"),

    Column("minutes", INTEGER, "Minutes of uptime"),

    Column("seconds", INTEGER, "Seconds of uptime"),

    Column("total_seconds", BIGINT, "Total uptime seconds"),

])

implementation("system/uptime@genUptime")

可以看到uptime表有5列,分别是days,hours,minutes,seconds,total_seconds。

其实现的代码是system/uptime中的genUptime函数。

Impl

那么直接来看具体实现uptime.cpp

QueryData genUptime(QueryContext& context) {

  Row r;

  QueryData results;

  long uptime_in_seconds = getUptime(); //获取启动的时间(根据不同的系统,有不同的方法获取)

  if (uptime_in_seconds >= 0) {

    r["days"] = INTEGER(uptime_in_seconds / 60 / 60 / 24);

    r["hours"] = INTEGER((uptime_in_seconds / 60 / 60) % 24);

    r["minutes"] = INTEGER((uptime_in_seconds / 60) % 60);

    r["seconds"] = INTEGER(uptime_in_seconds % 60);

    r["total_seconds"] = BIGINT(uptime_in_seconds);

    results.push_back(r);

  }

  return results;

}
  • Row r是一行数据,其对应于SQL查询结果的一行,包含有该表的每一列。
  • QueryData results是SQL查询返回的所有查询结果的集合,可以包含若干行。

可以看到该函数是首先获取启动时间,然后在行Row r中对应的字段填入相应的数据。

之后将结果通过results.push_back(r);填入到返回数据中,然后最终返回查询的结果。

因为uptime表只是获取对应的时间,所以只有一行。这里genUptime也就对应只填写了一行进行返回。

uptime是一个比较简单的表,下面对一个更为复杂的表processes进行分析。

Process

processes表相对来说,就复杂一些,其提供了正在running的进程的相关信息。

spec

首先来看processes.table

可以看到该表包含了很多列。这里就不一一介绍了。

table_name("processes")

description("All running processes on the host system.")

schema([

    Column("pid", BIGINT, "Process (or thread) ID", index=True),

    Column("name", TEXT, "The process path or shorthand argv[0]"),

    Column("path", TEXT, "Path to executed binary"),

    Column("cmdline", TEXT, "Complete argv"),

    Column("state", TEXT, "Process state"),

    Column("cwd", TEXT, "Process current working directory"),

    Column("root", TEXT, "Process virtual root directory"),

    Column("uid", BIGINT, "Unsigned user ID"),

    Column("gid", BIGINT, "Unsigned group ID"),

    Column("euid", BIGINT, "Unsigned effective user ID"),

    Column("egid", BIGINT, "Unsigned effective group ID"),

    Column("suid", BIGINT, "Unsigned saved user ID"),

    Column("sgid", BIGINT, "Unsigned saved group ID"),

    Column("on_disk", INTEGER,

        "The process path exists yes=1, no=0, unknown=-1"),

    Column("wired_size", BIGINT, "Bytes of unpagable memory used by process"),

    Column("resident_size", BIGINT, "Bytes of private memory used by process"),

    Column("phys_footprint", BIGINT, "Bytes of total physical memory used"),

    Column("user_time", BIGINT, "CPU time spent in user space"),

    Column("system_time", BIGINT, "CPU time spent in kernel space"),

    Column("start_time", BIGINT,

        "Process start in seconds since boot (non-sleeping)"),

    Column("parent", BIGINT, "Process parent's PID"),

    Column("pgroup", BIGINT, "Process group"),

    Column("nice", INTEGER, "Process nice level (-20 to 20, default 0)"),

])

implementation("system/processes@genProcesses")

examples([

  "select * from processes where pid = 1",

])

可以看到起其实现是processes中的genProcesses函数。

Impl

processes中的genProcesses函数为不同系统提供了不同的实现。本文主要是从linux/processes.cpp来做分析。

首先看实现函数genProcesses

QueryData genProcesses(QueryContext& context) {

  QueryData results;

  auto pidlist = getProcList(context);

  for (const auto& pid : pidlist) {

    genProcess(pid, results);

  }

  return results;

}

可以看到该函数主要有两部分。

  1. 根据context获取pid列表
  2. 根据pid列表依次获取每个pid的信息

获取pid列表

getProcList函数主要是根据context获取pid列表。

std::set<std::string> getProcList(const QueryContext& context) {

  std::set<std::string> pidlist;

  if (context.constraints.count("pid") > 0 &&

      context.constraints.at("pid").exists(EQUALS)) {

    for (const auto& pid : context.constraints.at("pid").getAll(EQUALS)) {

      if (isDirectory("/proc/" + pid)) {

        pidlist.insert(pid);

      }

    }

  } else {

    osquery::procProcesses(pidlist);

  }

  return pidlist;

}

从代码里可以看到,这里可以根据查询条件进行筛选。如果查询条件里面有where pid=xxxx的时候,即符合了

if (context.constraints.count("pid") > 0 && context.constraints.at("pid").exists(EQUALS))的条件,因此只需要将该pid加入到pidList中。

这一步的好处在于如果有where pid=xxxx的条件,就不需要检索所有的pid,只需要去获取特定的pid信息就可以了。

如果没有这种限制条件,则去获取所有的pid。获取的方法是procProcesses函数:

const std::string kLinuxProcPath = "/proc";

Status procProcesses(std::set<std::string>& processes) {

  // Iterate over each process-like directory in proc.

  boost::filesystem::directory_iterator it(kLinuxProcPath), end;

  try {

    for (; it != end; ++it) {

      if (boost::filesystem::is_directory(it->status())) {

        // See #792: std::regex is incomplete until GCC 4.9

        if (std::atoll(it->path().leaf().string().c_str()) > 0) {

          processes.insert(it->path().leaf().string());

        }

      }

    }

  } catch (const boost::filesystem::filesystem_error& e) {

    VLOG(1) << "Exception iterating Linux processes " << e.what();

    return Status(1, e.what());

  }

  return Status(0, "OK");

}

可以看到,获取所有的pid就是遍历/proc下的所有文件夹,判断文件夹是不是纯数字,如果是,则加入到processes集合里。

获取process的信息

有了pidList,接下来就是根据pidList,依次获取每个pid的信息。

void genProcess(const std::string& pid, QueryData& results) {

  // Parse the process stat and status.

  auto proc_stat = getProcStat(pid);

  Row r;

  r["pid"] = pid;

  r["parent"] = proc_stat.parent;

  r["path"] = readProcLink("exe", pid);

  r["name"] = proc_stat.name;

  r["pgroup"] = proc_stat.group;

  r["state"] = proc_stat.state;

  r["nice"] = proc_stat.nice;

  // Read/parse cmdline arguments.

  r["cmdline"] = readProcCMDLine(pid);

  r["cwd"] = readProcLink("cwd", pid);

  r["root"] = readProcLink("root", pid);

  r["uid"] = proc_stat.real_uid;

  r["euid"] = proc_stat.effective_uid;

  r["suid"] = proc_stat.saved_uid;

  r["gid"] = proc_stat.real_gid;

  r["egid"] = proc_stat.effective_gid;

  r["sgid"] = proc_stat.saved_gid;

  // If the path of the executable that started the process is available and

  // the path exists on disk, set on_disk to 1. If the path is not

  // available, set on_disk to -1. If, and only if, the path of the

  // executable is available and the file does NOT exist on disk, set on_disk

  // to 0.

  r["on_disk"] = osquery::pathExists(r["path"]).toString();

  // size/memory information

  r["wired_size"] = "0"; // No support for unpagable counters in linux.

  r["resident_size"] = proc_stat.resident_size;

  r["phys_footprint"] = proc_stat.phys_footprint;

  // time information

  r["user_time"] = proc_stat.user_time;

  r["system_time"] = proc_stat.system_time;

  r["start_time"] = proc_stat.start_time;

  results.push_back(r);

}

可以看到首先是用getProcStat函数获取pid的信息。

这里getProcStat函数就不展开分析了,其主要就是读取/proc/<pid>/stat文件,然后将对应的字段获取出来。

然后genProcess函数将从getProcStat获取到的信息,填入到行r中的对应列,最后将行r加到返回的结果集中。

Facebook开源的基于SQL的操作系统检测和监控框架:osquery Table详解的更多相关文章

  1. Facebook开源的基于SQL的操作系统检测和监控框架:osquery daemon详解

    osqueryd osqueryd(osquery daemon)是可以定期执行SQL查询和记录系统状态改变的驻守程序. osqueryd能够根据配置手机归档查询结果,并产生日志. 同时也可以使用系统 ...

  2. Facebook开源的基于SQL的操作系统检测和监控框架:osquery

    osquery简介 osquery是一款由facebook开源的,面向OSX和Linux的操作系统检测框架. osquery顾名思义,就是query os,允许通过使用SQL的方式来获取操作系统的数据 ...

  3. [转帖]技术扫盲:新一代基于UDP的低延时网络传输层协议——QUIC详解

    技术扫盲:新一代基于UDP的低延时网络传输层协议——QUIC详解    http://www.52im.net/thread-1309-1-1.html   本文来自腾讯资深研发工程师罗成的技术分享, ...

  4. Android中实现java与PHP服务器(基于新浪云免费云平台)http通信详解

    Android中实现java与PHP服务器(基于新浪云免费云平台)http通信详解 (本文转自: http://blog.csdn.net/yinhaide/article/details/44756 ...

  5. SQL Server中通用数据库角色权限的处理详解

    SQL Server中通用数据库角色权限的处理详解 前言 安全性是所有数据库管理系统的一个重要特征.理解安全性问题是理解数据库管理系统安全性机制的前提. 最近和同事在做数据库权限清理的事情,主要是删除 ...

  6. SQL Server中排名函数row_number,rank,dense_rank,ntile详解

    SQL Server中排名函数row_number,rank,dense_rank,ntile详解 从SQL SERVER2005开始,SQL SERVER新增了四个排名函数,分别如下:1.row_n ...

  7. 开源一个基于dotnet standard的轻量级的ORM框架-Light.Data

    还在dotnet framework 2.0的时代,当时还没有EF,而NHibernate之类的又太复杂,并且自己也有一些特殊需求,如查询结果直接入表.水平分表和新增数据默认值等,就试着折腾个轻量点O ...

  8. SQL Server 表的管理_关于完整性约束的详解(案例代码)

    SQL Server 表的管理之_关于完整性约束的详解 一.概述: ●约束是SQL Server提供的自动保持数据库完整性的一种方法, 它通过限制字段中数据.记录中数据和表之间的数据来保证数据的完整性 ...

  9. 第三十一节,目标检测算法之 Faster R-CNN算法详解

    Ren, Shaoqing, et al. “Faster R-CNN: Towards real-time object detection with region proposal network ...

随机推荐

  1. 一个完整的Installshield安装程序实例—艾泽拉斯之海洋女神出品(四) --高级设置二

    原文:一个完整的Installshield安装程序实例-艾泽拉斯之海洋女神出品(四) --高级设置二 上一篇:一个完整的安装程序实例—艾泽拉斯之海洋女神出品(三) --高级设置一4. 根据用户选择的组 ...

  2. yii中登录后跳转回登录前请求的页面

    当我们请求一个经过权限控制的请求不通过时,会跳转到一个地方请求权限,请求结束后需要跳转回之前的页面.比如我们请求一个需要登录的action,会被跳转到login页面,我们希望登录成功后跳转到我们之前希 ...

  3. C#-利用ZPL语言完毕条形码的生成和打印

     近期由于公司项目的须要,研究了一项对我来说算是新的技术-条形码的生成和打印.由于之前没有接触过这方面的知识,所以刚開始还有点小迷茫和小兴奋,只是一步一步来,问题总会解决的.如今来总结一下做条形码 ...

  4. 5款新颖的ReSharper插件

    ReSharper是著名的代码生成工具.自ReSharper 8.0版本发布以来,新的扩展管理器.模板设置.分发安装等功能改革使得对插件的要求变高.接下来小编整理了5款新颖插件. JetBox 当开发 ...

  5. 输入 URL 到页面完成加载过程中的所有发生的事情?

    转到浏览器中输入URL给你一个页面后,.有些事情,你每天都在使用,学的是计算机网络知道是怎么回事.DNS解析然后页面的回馈,只是要讲好还是有难度. 之前fex团队的nwind专门写过这个问题的博客: ...

  6. 如何使用OPENQUERY访问另一个SQL Server

    原文:如何使用OPENQUERY访问另一个SQL Server 在项目中,经常会遇到一个数据库访问另一个数据库,[CNVFERPDB]为服务器名,[CE3]为库名 SELECT Dtl.* FROM ...

  7. beanutils设置参数和获取参数

    public class Employee implements DynaBean  { private String  firstName="李";    private Str ...

  8. 配置Sublime Text 2 的Python运行环境

    Sublime Text 2作为一款轻量级的编辑器,特点鲜明,方便使用,愈发受到普罗大众的喜爱,我个人最近也开始用了起来.同时,我近段时间还在学习Python的相关东西,所以开始用ST2来写Pytho ...

  9. xmlDom

    加载并解析xml文件: <script type="text/javascript"> try //Internet Explorer { xmlDoc=new Act ...

  10. HTML页面规范分解

    百度,淘宝,腾讯三大巨头HTML页面规范分解   [兼容html5方案] 百度贴吧,百度图片的实现 <!--[if lt IE 9]> <script> (function() ...