备注:

osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控

1. 安装

参考 https://osquery.io/downloads/official/2.11.2

我使用的是centos 使用rpm 包安装

wget https://pkg.osquery.io/rpm/osquery-2.11.2-1.linux.x86_64.rpm

yum install -y osquery-2.11.2-1.linux.x86_64.rpm
 
2. 基本使用
a. 简单sql

osqueryi

比如我要查询系统的用户

select * from users;

b. 查看系统的表

.table

=> acpi_tables

  => apt_sources

  => arp_cache

  => augeas

  => authorized_keys

  => block_devices

  => carbon_black_info

  => carves

  => chrome_extensions

  => cpu_time

  => cpuid

  => crontab

  => curl

  => curl_certificate

  => deb_packages

  => device_file

  => device_hash

  => device_partitions

  => disk_encryption

  => dns_resolvers

  => docker_container_labels

  => docker_container_mounts

  => docker_container_networks

  => docker_container_ports

  => docker_container_processes

  => docker_container_stats

  => docker_containers

  => docker_image_labels

  => docker_images

  => docker_info

  => docker_network_labels

  => docker_networks

  => docker_version

  => docker_volume_labels

  => docker_volumes

  => ec2_instance_metadata

  => ec2_instance_tags

  => etc_hosts

  => etc_protocols

  => etc_services

  => file

  => file_events

  => firefox_addons

  => groups

  => hardware_events

  => hash

  => intel_me_info

  => interface_addresses

  => interface_details

  => iptables

  => kernel_info

  => kernel_integrity

  => kernel_modules

  => known_hosts

  => last

  => listening_ports

  => lldp_neighbors

  => load_average

  => logged_in_users

  => magic

  => md_devices

  => md_drives

  => md_personalities

  => memory_info

  => memory_map

  => mounts

  => msr

  => opera_extensions

  => os_version

  => osquery_events

  => osquery_extensions

  => osquery_flags

  => osquery_info

  => osquery_packs

  => osquery_registry

  => osquery_schedule

  => pci_devices

  => platform_info

  => portage_keywords

  => portage_packages

  => portage_use

  => process_envs

  => process_events

  => process_memory_map

  => process_open_files

  => process_open_sockets

  => processes

  => prometheus_metrics

  => python_packages

  => routes

  => rpm_package_files

  => rpm_packages

  => shadow

  => shared_memory

  => shell_history

  => smbios_tables

  => socket_events

  => startup_items

  => sudoers

  => suid_bin

  => syslog_events

  => system_controls

  => system_info

  => time

  => uptime

  => usb_devices

  => user_events

  => user_groups

  => user_ssh_keys

  => users

  => yara

  => yara_events

c.  查看表schema

.schema table_name

比如:

.schema users

.schema users

CREATE TABLE users(`uid` BIGINT, `gid` BIGINT, `uid_signed` BIGINT, `gid_signed` BIGINT, `username` TEXT, `description` TEXT, `directory` TEXT, `shell` TEXT, `uuid` TEXT, `type` TEXT HIDDEN, PRIMARY KEY (`uid`, `username`)) WITHOUT ROWID;

备注:就是写sql,实际需要的就是查询对应表的数据,很强很大,同时基本主流操作系统都支持
 
3. 几个小技巧
修改模式

.mode line 类似mysql  \G

.table  系统表

.schema  表结构
 
 
4. 参考资料
https://osquery.io/
 
 
 
 
 

osquery简单试用的更多相关文章

  1. jQuery无刷新上传之uploadify简单试用

    先简单的侃两句:貌似已经有两个月的时间没有写过文章了,不过仍会像以前那样每天至少有一至两个小时是泡在园子里看各位大神的文章.前些天在研究“ajax无刷新上传”方面的一些插件,用SWFUpload实现了 ...

  2. cloudevents js sdk 简单试用

    cloudevents 目前官方提供了不同语言的sdk,以下是js 的简单学习试用,从目前来说更新不是很好 clone 代码 git clone https://github.com/cloudeve ...

  3. podium micro-frontends 简单试用

    以下是一个简单的podium 试用,包含了layout 以及podlets,使用docker 运行 podium 主要包含了两大部分 podlets 片段服务 layouts 片段组合服务 环境准备 ...

  4. Visual Studio Code 的简单试用体验

    首先对Visual Studio Code做一个大概的介绍.首先明确一下,这个Visual Studio Code(以下简称 vscode)是一个带GUI的代码编辑器,也就是只能完成简单的代码编辑功能 ...

  5. Cassandra安装及其简单试用

    官方主页:http://cassandra.apache.org/ 简介: The Apache Cassandra Project develops a highly scalable second ...

  6. nginx ngx_http_image_filter_module 简单试用

    nginx包含了一个ngx_http_image_filter_module 模块,我们可以方便的进行图片的缩略图,平时一些简单的功能 已经够用了 环境准备 为了简单使用docker-compose ...

  7. Apigee 简介与简单试用

     Apigee (国内访问需要***)是一家成立于2004年的API管理公司,于2016年9月被Google收购,作为Google云的服务之一.Apigee提供从API设计.开发.管理.门户.网关等 ...

  8. vernemq 集群 docker-compose 搭建简单试用

    vernemq 是一款开源的mqtt broker, 支持cluster 模式部署,而且部署比较简单 以下是一个使用docker-compose 搭建环境的demo 环境准备 docker-compo ...

  9. tailor+ skipper 实现micro-frontends 简单试用

    tailor 在Mosaic 框架中扮演fragment 模版layout的处理,后端fragment可以用任何服务编写 tailor 主要就是进行layout的处理.tailor的是类似facebo ...

随机推荐

  1. 英语每日阅读---4、VOA慢速英语(翻译+字幕+讲解):专家:城市发展将加剧住房危机

    英语每日阅读---4.VOA慢速英语(翻译+字幕+讲解):专家:城市发展将加剧住房危机 一.总结 一句话总结:城市化(越来越多的人会住进城市)是必然趋势,人口增长也是必然趋势,人口增长必然会加大住房危 ...

  2. Cookie和Session的工作原理及比较

    一.Cookie详解 (1)简介 因为HTTP协议是无状态的,即服务器不知道用户上一次做了什么,这严重阻碍了交互式Web应用程序的实现.在典型的网上购物场景中,用户浏览了几个页面,买了一盒饼干和两饮料 ...

  3. HIVE学习(待更新)

    1 安装hive 下载 http://mirrors.shu.edu.cn/apache/hive/hive-1.2.2/,红框中的不需要编译. 由于hive是默认将元数据保存在本地内嵌的 Derby ...

  4. UVA-11324 The Largest Clique (强连通+DP)

    题目大意:在一张无向图中,最大的节点集使得集合内任意两个节点都能到达对方. 题目分析:找出所有的强连通分量,将每一个分量视作大节点,则原图变成了一张DAG.将每个分量中的节点个数作为节点权值,题目便转 ...

  5. IOS-相机、相册

    // // ViewController.m // IOS_0301_相册和相机 // // Created by ma c on 16/3/1. // Copyright © 2016年 博文科技. ...

  6. 【hdu1005】Number Sequence

    题目描述 一个数列的定义如下: f(1) = 1, f(2) = 1, f(n) = (A * f(n - 1) + B * f(n - 2)) mod 7. 给出A和B,你要求出f(n). 输入 输 ...

  7. hdu 6097 Mindis(数学几何,圆心的反演点)

    Mindis Time Limit: 6000/3000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Others)Total Subm ...

  8. Spring实例化bean的几种方式

    一,通过constructor实例化bean Spring可以实例化各种类型的类,不要求必须是JavaBean类型的类.在XML中配置类如下: <bean id="exampleBea ...

  9. 什么是web?什么是web服务器?什么是应用服务器?

    1.什么是Web? 简单来说,Web就是在Http协议基础之上,利用浏览器进行访问的网站.目前来看最常用的意义是指在 Intenet 上和 HTML 相关的部分.换句话说,目前在 Intenet 上通 ...

  10. Linux内核源代码目录结构详解

    http://blog.csdn.net/u013014440/article/details/44024207