备注:

osquery  facebook 开源的将操作系统指标转换为sql 查询,方便好用,很适合devops 性能分析,系统监控

1. 安装

参考 https://osquery.io/downloads/official/2.11.2

我使用的是centos 使用rpm 包安装

wget https://pkg.osquery.io/rpm/osquery-2.11.2-1.linux.x86_64.rpm

yum install -y osquery-2.11.2-1.linux.x86_64.rpm
 
2. 基本使用
a. 简单sql

osqueryi

比如我要查询系统的用户

select * from users;

b. 查看系统的表

.table

=> acpi_tables

  => apt_sources

  => arp_cache

  => augeas

  => authorized_keys

  => block_devices

  => carbon_black_info

  => carves

  => chrome_extensions

  => cpu_time

  => cpuid

  => crontab

  => curl

  => curl_certificate

  => deb_packages

  => device_file

  => device_hash

  => device_partitions

  => disk_encryption

  => dns_resolvers

  => docker_container_labels

  => docker_container_mounts

  => docker_container_networks

  => docker_container_ports

  => docker_container_processes

  => docker_container_stats

  => docker_containers

  => docker_image_labels

  => docker_images

  => docker_info

  => docker_network_labels

  => docker_networks

  => docker_version

  => docker_volume_labels

  => docker_volumes

  => ec2_instance_metadata

  => ec2_instance_tags

  => etc_hosts

  => etc_protocols

  => etc_services

  => file

  => file_events

  => firefox_addons

  => groups

  => hardware_events

  => hash

  => intel_me_info

  => interface_addresses

  => interface_details

  => iptables

  => kernel_info

  => kernel_integrity

  => kernel_modules

  => known_hosts

  => last

  => listening_ports

  => lldp_neighbors

  => load_average

  => logged_in_users

  => magic

  => md_devices

  => md_drives

  => md_personalities

  => memory_info

  => memory_map

  => mounts

  => msr

  => opera_extensions

  => os_version

  => osquery_events

  => osquery_extensions

  => osquery_flags

  => osquery_info

  => osquery_packs

  => osquery_registry

  => osquery_schedule

  => pci_devices

  => platform_info

  => portage_keywords

  => portage_packages

  => portage_use

  => process_envs

  => process_events

  => process_memory_map

  => process_open_files

  => process_open_sockets

  => processes

  => prometheus_metrics

  => python_packages

  => routes

  => rpm_package_files

  => rpm_packages

  => shadow

  => shared_memory

  => shell_history

  => smbios_tables

  => socket_events

  => startup_items

  => sudoers

  => suid_bin

  => syslog_events

  => system_controls

  => system_info

  => time

  => uptime

  => usb_devices

  => user_events

  => user_groups

  => user_ssh_keys

  => users

  => yara

  => yara_events

c.  查看表schema

.schema table_name

比如:

.schema users

.schema users

CREATE TABLE users(`uid` BIGINT, `gid` BIGINT, `uid_signed` BIGINT, `gid_signed` BIGINT, `username` TEXT, `description` TEXT, `directory` TEXT, `shell` TEXT, `uuid` TEXT, `type` TEXT HIDDEN, PRIMARY KEY (`uid`, `username`)) WITHOUT ROWID;

备注:就是写sql,实际需要的就是查询对应表的数据,很强很大,同时基本主流操作系统都支持
 
3. 几个小技巧
修改模式

.mode line 类似mysql  \G

.table  系统表

.schema  表结构
 
 
4. 参考资料
https://osquery.io/
 
 
 
 
 

osquery简单试用的更多相关文章

  1. jQuery无刷新上传之uploadify简单试用

    先简单的侃两句:貌似已经有两个月的时间没有写过文章了,不过仍会像以前那样每天至少有一至两个小时是泡在园子里看各位大神的文章.前些天在研究“ajax无刷新上传”方面的一些插件,用SWFUpload实现了 ...

  2. cloudevents js sdk 简单试用

    cloudevents 目前官方提供了不同语言的sdk,以下是js 的简单学习试用,从目前来说更新不是很好 clone 代码 git clone https://github.com/cloudeve ...

  3. podium micro-frontends 简单试用

    以下是一个简单的podium 试用,包含了layout 以及podlets,使用docker 运行 podium 主要包含了两大部分 podlets 片段服务 layouts 片段组合服务 环境准备 ...

  4. Visual Studio Code 的简单试用体验

    首先对Visual Studio Code做一个大概的介绍.首先明确一下,这个Visual Studio Code(以下简称 vscode)是一个带GUI的代码编辑器,也就是只能完成简单的代码编辑功能 ...

  5. Cassandra安装及其简单试用

    官方主页:http://cassandra.apache.org/ 简介: The Apache Cassandra Project develops a highly scalable second ...

  6. nginx ngx_http_image_filter_module 简单试用

    nginx包含了一个ngx_http_image_filter_module 模块,我们可以方便的进行图片的缩略图,平时一些简单的功能 已经够用了 环境准备 为了简单使用docker-compose ...

  7. Apigee 简介与简单试用

     Apigee (国内访问需要***)是一家成立于2004年的API管理公司,于2016年9月被Google收购,作为Google云的服务之一.Apigee提供从API设计.开发.管理.门户.网关等 ...

  8. vernemq 集群 docker-compose 搭建简单试用

    vernemq 是一款开源的mqtt broker, 支持cluster 模式部署,而且部署比较简单 以下是一个使用docker-compose 搭建环境的demo 环境准备 docker-compo ...

  9. tailor+ skipper 实现micro-frontends 简单试用

    tailor 在Mosaic 框架中扮演fragment 模版layout的处理,后端fragment可以用任何服务编写 tailor 主要就是进行layout的处理.tailor的是类似facebo ...

随机推荐

  1. IdentityServer4在Asp.Net Core中的应用(一)

    IdentityServer4是一套身份授权以及访问控制的解决方案,专注于帮助使用.Net 技术的公司为现代应用程序建立标识和访问控制解决方案,包括单点登录.身份管理.授权和API安全. 下面我将具体 ...

  2. Bash 快捷键[转]

    编辑命令 Ctrl + a :移到命令行首 Ctrl + e :移到命令行尾 Ctrl + f :按字符前移(右向) Ctrl + b :按字符后移(左向) Alt + f :按单词前移(右向) Al ...

  3. mongo docker image

    mongo 保存压缩镜像 docker save -o ~/Desktop/mongo.tar mongo 7za a -mx=9 ~/Desktop/mongo.tar{.7z,} 导入或拉取镜像 ...

  4. spoj-ASSIGN-bitDP

    ASSIGN - Assignments #dynamic-programming Problem Your task will be to calculate number of different ...

  5. Linux中jar包指定端口启动并记录日志

    Linux中jar包指定端口启动并记录日志: java -jar -Dserver.port=38080  group-buying-0.0.1-SNAPSHOT.jar   >log.log ...

  6. T4模板的基本结构

    (转自:http://www.cnblogs.com/yank/archive/2012/02/14/2342287.html) T4模板的基本结构 代码块的总体分类,就是两种:文本.程序脚本. 我感 ...

  7. [WinForm]Dundas Chart控件学习(附源码)

    1.Dundas公司简介 加拿大的一家公司,专业做图表展现的,很牛,据说现在被Microsoft收购了.官网地址:http://www.dundas.com/ 2.Chart基本要素 3.最简单的柱状 ...

  8. hdu 2818 Building Block(并查集,有点点复杂)

    Building Block Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)To ...

  9. Poj 3318 Matrix Multiplication( 矩阵压缩)

    Matrix Multiplication Time Limit: 2000MS   Memory Limit: 65536K Total Submissions: 18928   Accepted: ...

  10. New Concept English three(20)

    26w/m 36 In 1908 Lord Northcliffe offered a prize of £1000 to the first man who would fly across the ...