备注:

osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控

1. 安装

参考 https://osquery.io/downloads/official/2.11.2

我使用的是centos 使用rpm 包安装

wget https://pkg.osquery.io/rpm/osquery-2.11.2-1.linux.x86_64.rpm

yum install -y osquery-2.11.2-1.linux.x86_64.rpm
 
2. 基本使用
a. 简单sql

osqueryi

比如我要查询系统的用户

select * from users;

b. 查看系统的表

.table

=> acpi_tables

  => apt_sources

  => arp_cache

  => augeas

  => authorized_keys

  => block_devices

  => carbon_black_info

  => carves

  => chrome_extensions

  => cpu_time

  => cpuid

  => crontab

  => curl

  => curl_certificate

  => deb_packages

  => device_file

  => device_hash

  => device_partitions

  => disk_encryption

  => dns_resolvers

  => docker_container_labels

  => docker_container_mounts

  => docker_container_networks

  => docker_container_ports

  => docker_container_processes

  => docker_container_stats

  => docker_containers

  => docker_image_labels

  => docker_images

  => docker_info

  => docker_network_labels

  => docker_networks

  => docker_version

  => docker_volume_labels

  => docker_volumes

  => ec2_instance_metadata

  => ec2_instance_tags

  => etc_hosts

  => etc_protocols

  => etc_services

  => file

  => file_events

  => firefox_addons

  => groups

  => hardware_events

  => hash

  => intel_me_info

  => interface_addresses

  => interface_details

  => iptables

  => kernel_info

  => kernel_integrity

  => kernel_modules

  => known_hosts

  => last

  => listening_ports

  => lldp_neighbors

  => load_average

  => logged_in_users

  => magic

  => md_devices

  => md_drives

  => md_personalities

  => memory_info

  => memory_map

  => mounts

  => msr

  => opera_extensions

  => os_version

  => osquery_events

  => osquery_extensions

  => osquery_flags

  => osquery_info

  => osquery_packs

  => osquery_registry

  => osquery_schedule

  => pci_devices

  => platform_info

  => portage_keywords

  => portage_packages

  => portage_use

  => process_envs

  => process_events

  => process_memory_map

  => process_open_files

  => process_open_sockets

  => processes

  => prometheus_metrics

  => python_packages

  => routes

  => rpm_package_files

  => rpm_packages

  => shadow

  => shared_memory

  => shell_history

  => smbios_tables

  => socket_events

  => startup_items

  => sudoers

  => suid_bin

  => syslog_events

  => system_controls

  => system_info

  => time

  => uptime

  => usb_devices

  => user_events

  => user_groups

  => user_ssh_keys

  => users

  => yara

  => yara_events

c.  查看表schema

.schema table_name

比如:

.schema users

.schema users

CREATE TABLE users(`uid` BIGINT, `gid` BIGINT, `uid_signed` BIGINT, `gid_signed` BIGINT, `username` TEXT, `description` TEXT, `directory` TEXT, `shell` TEXT, `uuid` TEXT, `type` TEXT HIDDEN, PRIMARY KEY (`uid`, `username`)) WITHOUT ROWID;

备注:就是写sql,实际需要的就是查询对应表的数据,很强很大,同时基本主流操作系统都支持
 
3. 几个小技巧
修改模式

.mode line 类似mysql  \G

.table  系统表

.schema  表结构
 
 
4. 参考资料
https://osquery.io/
 
 
 
 
 

osquery简单试用的更多相关文章

  1. jQuery无刷新上传之uploadify简单试用

    先简单的侃两句:貌似已经有两个月的时间没有写过文章了,不过仍会像以前那样每天至少有一至两个小时是泡在园子里看各位大神的文章.前些天在研究“ajax无刷新上传”方面的一些插件,用SWFUpload实现了 ...

  2. cloudevents js sdk 简单试用

    cloudevents 目前官方提供了不同语言的sdk,以下是js 的简单学习试用,从目前来说更新不是很好 clone 代码 git clone https://github.com/cloudeve ...

  3. podium micro-frontends 简单试用

    以下是一个简单的podium 试用,包含了layout 以及podlets,使用docker 运行 podium 主要包含了两大部分 podlets 片段服务 layouts 片段组合服务 环境准备 ...

  4. Visual Studio Code 的简单试用体验

    首先对Visual Studio Code做一个大概的介绍.首先明确一下,这个Visual Studio Code(以下简称 vscode)是一个带GUI的代码编辑器,也就是只能完成简单的代码编辑功能 ...

  5. Cassandra安装及其简单试用

    官方主页:http://cassandra.apache.org/ 简介: The Apache Cassandra Project develops a highly scalable second ...

  6. nginx ngx_http_image_filter_module 简单试用

    nginx包含了一个ngx_http_image_filter_module 模块,我们可以方便的进行图片的缩略图,平时一些简单的功能 已经够用了 环境准备 为了简单使用docker-compose ...

  7. Apigee 简介与简单试用

     Apigee (国内访问需要***)是一家成立于2004年的API管理公司,于2016年9月被Google收购,作为Google云的服务之一.Apigee提供从API设计.开发.管理.门户.网关等 ...

  8. vernemq 集群 docker-compose 搭建简单试用

    vernemq 是一款开源的mqtt broker, 支持cluster 模式部署,而且部署比较简单 以下是一个使用docker-compose 搭建环境的demo 环境准备 docker-compo ...

  9. tailor+ skipper 实现micro-frontends 简单试用

    tailor 在Mosaic 框架中扮演fragment 模版layout的处理,后端fragment可以用任何服务编写 tailor 主要就是进行layout的处理.tailor的是类似facebo ...

随机推荐

  1. Codeforces Round #349 (Div. 2)

    第一题直接算就行了为了追求手速忘了输出yes导致wa了一发... 第二题技巧题,直接sort,然后把最大的和其他的相减就是构成一条直线,为了满足条件就+1 #include<map> #i ...

  2. Java栈的两种实现

    1. 基于数组 package Algorithm.learn; import java.util.Arrays; /** * Created by liujinhong on 2017/3/7. * ...

  3. Java多态性的理解2

    多态的基础理解请参考:http://www.cnblogs.com/liujinhong/p/6003144.html Java的多态一直是我们理解的一个难点.在读过<深入理解Java虚拟机&g ...

  4. UVA-1615 Highway (贪心,区间选点)

    题目大意:有一条沿x轴正方向,长为L的高速公路,n个村庄,要求修建最少的公路出口数目,使得每个村庄到出口的距离不大于D. 题目分析:区间选点问题.在x轴上,到每个村庄距离为D的点有两个(超出范围除外) ...

  5. <mvc:annotation-driven>新增标签

    以下为spring mvc 3.1中annotation-driven所支持的全部配置 <mvc:annotation-driven message-codes-resolver =" ...

  6. 由浅入深了解EventBus:(六)

    线程模型 在EventBus3.0框架中执行线程的快速切换,通过ThreadMode来指定线程在哪个线程中执行; 在EventBus3.0框架线程模型有个PendingPost 类负责数据的传递; f ...

  7. Linux文件操作及管理

    ---恢复内容开始--- 一.Linux系统的结构 1.Linux是一个倒树型结构,最大的目录名称为“/”(根目录) 2.Linux系统的二级目录 /bin     ##binary二进制可执行文件, ...

  8. c# DataTable 导出csv文件

    using System; using System.Data; using System.Configuration; using System.Collections.Generic; using ...

  9. 一段处理json的C#代码

    服务器端: using Newtonsoft.Json; using Newtonsoft.Json.Linq; public ActionResult GetGatherData() { IList ...

  10. [Python] 比较两个数组的元素的异同

    通过set()获取两个数组的交/并/差集: print set(a) & set(b) # 交集, 等价于set(a).intersection(set(b)) print set(a) | ...