Osquery bilen Linux Serwer Howpsuzlygyna nädip gözegçilik etmeli

Osquery, “Facebook” tarapyndan gurlan Linux, FreeBSD, Windows we Mac/OS X ulgamlary üçin mugt açyk çeşme, güýçli we platforma SQL esasly operasiýa ulgamy gurallary, gözegçilik we seljeriş çarçuwasydyr. Simpleönekeý we ulanmaga aňsat operasiýa ulgamyny öwreniji.

Pes derejeli OS analitikasyny we gözegçiligini ýerine ýetirýän birnäçe gurallary birleşdirýär; bu gurallar, MySQL/MariaDB, PostgreSQL we beýlekiler ýaly ýokary öndürijilikli baglanyşyk bazasy hökmünde operasiýa ulgamyny açýar, bu ýerde OS düşünjeleri tablisa görnüşinde görkezilýär, şeýlelik bilen ulanyjylara ulgam gözegçiligini we seljerişini geçirmek üçin SQL buýruklaryny ulanmaga mümkinçilik berýär.

Osquery SQL tablisalaryny ýerine ýetirmek üçin ýönekeý bir plugin we giňeltmeler API ulanýar, ulanmaga taýyn tablisalar ýygyndysy bar we has köp ýazylýar. Käbir tablisalary diňe belli bir operasiýa ulgamynda tapyp bolýar, mysal üçin, diňe Linux ulgamlarynda ýadro_modullar tablisasyny tapyp bilersiňiz.

Mundan başga-da, oskeri gabygynyň üsti bilen bir hostda ýa-da tordaky birnäçe hostda OS ýagdaýyna gözegçilik etmek we derňemek üçin talaplary işledip bilersiňiz ýa-da osquery Thrift API-lerini ulanyp, islendik amaly programmalaryňyzdan ýerine ýetirip bilersiňiz.

“Osquery” -ni Linux-da nädip gurmaly

Osquery, resmi ammardan görkezilişi ýaly degişli Linux paýlanyşyňyzda dnf paket dolandyryş guralyny ulanyp gurup bolýar.

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm-repo
$ sudo yum install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

Osquery ulanyp Linux-a nädip gözegçilik we analiz etmeli

Osquery ulgamyňyza üstünlikli guranyňyzdan soň, görkezilişi ýaly OS-yň ýagdaýyny sorap başlamak üçin osqueryi gabygyny işe giriziň.

$ osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Gysgaça Linux ulgamy maglumatlary almak üçin aşakdaky buýrugy işlediň.

osquery> SELECT  * FROM system_info;

Linux ulgamyndaky ähli ulanyjylaryň gowy düzülen sanawyny almak üçin aşakdaky soragy işlediň.

osquery> SELECT * FROM users;

Linux ýadro modullarynyň hemmesiniň sanawyny we olaryň ýagdaýyny almak üçin aşakdaky soragy işlediň.

osquery> SELECT * FROM kernel_modules;

CentOS, RHEL we Fedora-da gurnalan RPM paketleriniň sanawyny almak üçin aşakdaky soragy işlediň.

osquery> .all rpm_packages;

Linux amallaryny işletmek barada maglumat almak üçin aşakdaky soragy işlediň.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Iş stolunda osquery işleýän bolsaňyz we Firefox ýa-da Chrome gurnalan bolsaňyz, aşakdaky talapdan peýdalanyp, ähli goşmaçalaryňyzy sanap bilersiňiz.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Linux-da ýerine ýetirilen tablisalaryň sanawyny görkezmek üçin .tables buýrugyny görkezilişi ýaly ulanyň.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery, şeýle hem, faýl bütewiligine gözegçilik (FIM), prosesi we rozetka barlag aýratynlyklaryny we başgalary üpjün edýär, şeýlelik bilen bu çozuşy kesgitlemek guralydyr, ýöne bu maksat bilen ýerleşdirmezden ozal käbir konfigurasiýalary talap edýär. Osquery Github ammaryndan has giňişleýin maglumat tapyp bilersiňiz.