备注:

osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控

1. 安装

参考 https://osquery.io/downloads/official/2.11.2

我使用的是centos 使用rpm 包安装

wget https://pkg.osquery.io/rpm/osquery-2.11.2-1.linux.x86_64.rpm

yum install -y osquery-2.11.2-1.linux.x86_64.rpm
 
2. 基本使用
a. 简单sql

osqueryi

比如我要查询系统的用户

select * from users;

b. 查看系统的表

.table

=> acpi_tables

  => apt_sources

  => arp_cache

  => augeas

  => authorized_keys

  => block_devices

  => carbon_black_info

  => carves

  => chrome_extensions

  => cpu_time

  => cpuid

  => crontab

  => curl

  => curl_certificate

  => deb_packages

  => device_file

  => device_hash

  => device_partitions

  => disk_encryption

  => dns_resolvers

  => docker_container_labels

  => docker_container_mounts

  => docker_container_networks

  => docker_container_ports

  => docker_container_processes

  => docker_container_stats

  => docker_containers

  => docker_image_labels

  => docker_images

  => docker_info

  => docker_network_labels

  => docker_networks

  => docker_version

  => docker_volume_labels

  => docker_volumes

  => ec2_instance_metadata

  => ec2_instance_tags

  => etc_hosts

  => etc_protocols

  => etc_services

  => file

  => file_events

  => firefox_addons

  => groups

  => hardware_events

  => hash

  => intel_me_info

  => interface_addresses

  => interface_details

  => iptables

  => kernel_info

  => kernel_integrity

  => kernel_modules

  => known_hosts

  => last

  => listening_ports

  => lldp_neighbors

  => load_average

  => logged_in_users

  => magic

  => md_devices

  => md_drives

  => md_personalities

  => memory_info

  => memory_map

  => mounts

  => msr

  => opera_extensions

  => os_version

  => osquery_events

  => osquery_extensions

  => osquery_flags

  => osquery_info

  => osquery_packs

  => osquery_registry

  => osquery_schedule

  => pci_devices

  => platform_info

  => portage_keywords

  => portage_packages

  => portage_use

  => process_envs

  => process_events

  => process_memory_map

  => process_open_files

  => process_open_sockets

  => processes

  => prometheus_metrics

  => python_packages

  => routes

  => rpm_package_files

  => rpm_packages

  => shadow

  => shared_memory

  => shell_history

  => smbios_tables

  => socket_events

  => startup_items

  => sudoers

  => suid_bin

  => syslog_events

  => system_controls

  => system_info

  => time

  => uptime

  => usb_devices

  => user_events

  => user_groups

  => user_ssh_keys

  => users

  => yara

  => yara_events

c.  查看表schema

.schema table_name

比如:

.schema users

.schema users

CREATE TABLE users(`uid` BIGINT, `gid` BIGINT, `uid_signed` BIGINT, `gid_signed` BIGINT, `username` TEXT, `description` TEXT, `directory` TEXT, `shell` TEXT, `uuid` TEXT, `type` TEXT HIDDEN, PRIMARY KEY (`uid`, `username`)) WITHOUT ROWID;

备注:就是写sql,实际需要的就是查询对应表的数据,很强很大,同时基本主流操作系统都支持
 
3. 几个小技巧
修改模式

.mode line 类似mysql  \G

.table  系统表

.schema  表结构
 
 
4. 参考资料
https://osquery.io/
 
 
 
 
 

osquery简单试用的更多相关文章

  1. jQuery无刷新上传之uploadify简单试用

    先简单的侃两句:貌似已经有两个月的时间没有写过文章了,不过仍会像以前那样每天至少有一至两个小时是泡在园子里看各位大神的文章.前些天在研究“ajax无刷新上传”方面的一些插件,用SWFUpload实现了 ...

  2. cloudevents js sdk 简单试用

    cloudevents 目前官方提供了不同语言的sdk,以下是js 的简单学习试用,从目前来说更新不是很好 clone 代码 git clone https://github.com/cloudeve ...

  3. podium micro-frontends 简单试用

    以下是一个简单的podium 试用,包含了layout 以及podlets,使用docker 运行 podium 主要包含了两大部分 podlets 片段服务 layouts 片段组合服务 环境准备 ...

  4. Visual Studio Code 的简单试用体验

    首先对Visual Studio Code做一个大概的介绍.首先明确一下,这个Visual Studio Code(以下简称 vscode)是一个带GUI的代码编辑器,也就是只能完成简单的代码编辑功能 ...

  5. Cassandra安装及其简单试用

    官方主页:http://cassandra.apache.org/ 简介: The Apache Cassandra Project develops a highly scalable second ...

  6. nginx ngx_http_image_filter_module 简单试用

    nginx包含了一个ngx_http_image_filter_module 模块,我们可以方便的进行图片的缩略图,平时一些简单的功能 已经够用了 环境准备 为了简单使用docker-compose ...

  7. Apigee 简介与简单试用

     Apigee (国内访问需要***)是一家成立于2004年的API管理公司,于2016年9月被Google收购,作为Google云的服务之一.Apigee提供从API设计.开发.管理.门户.网关等 ...

  8. vernemq 集群 docker-compose 搭建简单试用

    vernemq 是一款开源的mqtt broker, 支持cluster 模式部署,而且部署比较简单 以下是一个使用docker-compose 搭建环境的demo 环境准备 docker-compo ...

  9. tailor+ skipper 实现micro-frontends 简单试用

    tailor 在Mosaic 框架中扮演fragment 模版layout的处理,后端fragment可以用任何服务编写 tailor 主要就是进行layout的处理.tailor的是类似facebo ...

随机推荐

  1. 微信小程序------小程序初步学习

    1:学习微信小程序,首先的会一点前端的基础会比较容易上手,比如:HTML+CSS,JS,HTML5+CSS3: H5+CSS3中的弹性盒子在微信小程序中经常用到,这是必须掌握的.不会的可以去W3C文档 ...

  2. spring中aop使用

    AOP为Aspect Oriented Programming的缩写,意为:面向切面编程AOP采取横向抽取机制,取代了传统纵向继承体系重复性代码(性能监视.事务管理.安全检查.缓存) Spring的基 ...

  3. 【zzuli-1626】又是A+B吗?

    题目描述 其实这个题本来应该是那道撼烁古今的A+B签到题,但LCC小王子一看不乐意了,说:“这么经典的题怎么能让别人做,我们要留着自己做,马上把这道题给我换了.”于是把原本经典的A+B签到题改成了现在 ...

  4. 安装Fedora 21工作站后要做的10件事情

    教程]安装Fedora 21工作站后要做的10件事情 2015-01-07 13:32 CSDN CODE 作者CSDN CODE 1 755 FedoraGNOMELinux Fedora 21已经 ...

  5. 程序包需要 NuGet 客户端版本“2.12”或更高版本,但当前的 NuGet 版本为“2.8.50313.46”

    由于安装install-package newtonsoft.json 会出现需要 NuGet 客户端版本“2.12”或更高版本来安装,于是换成旧版的newtonsoft.json   PM> ...

  6. mac下解决mysql乱码问题

    问题描述:在window平台下面数据库插入.已经查找都是很正常的,但是到mac下面查找.插入就不正常了,之后感觉是mysql的问题然后网上搜索学习了下,果然是mysql的问题.解决方案:首先你要先去看 ...

  7. Linux内核源代码目录结构详解

    http://blog.csdn.net/u013014440/article/details/44024207

  8. 基于EasyDSS流媒体服务器实现的直播流管理与鉴权的后台方案

    本文转自EasyDSS团队Marvin的博客:http://blog.csdn.net/marvin1311/article/details/73548929 最新版本的EasyDSS流媒体解决方案, ...

  9. Modules(最小树形图)

    题目链接: Modules 描述 蒜头有一块主板,为了提升其性能,可在主板上安置若干增强模块.蒜头有n个不同的增强模块,增强模块可以直接安置在主板上,也可以安置在已经直接或间接连接在主板上的其他增强模 ...

  10. 解决visual studio2017没有系统类和方法注释的问题

    好几次碰到这种情况了,每次都得稍微查一查才能解决这个问题,相信也有不少人遇到这个问题,在对方法还不是很熟练的时候,将鼠标放置到方法上去,就会有信息提示是一件非常方便的事情,本文的解决方法同样适用于只显 ...