Phenquestions
Da bi ovaj vodič bio sažet, nećemo zaranjati duboko u "što" i "kako" ELK stoga. Umjesto toga, brzo i izravno ćemo razgovarati o tome kako ga koristiti s Osqueryjem. Također ćemo pretpostaviti da radno poznajete SQL - bez obzira na priloženi vodič).
Što je Osquery?
Razvio Facebook, Osquery je međuplatformni alat otvorenog koda koji se koristi za postavljanje upita i nadgledanje sustava pomoću upita utemeljenih na SQL-u.
Osquery može komunicirati sa sustavom i prikupljati detaljne informacije poput upotrebe memorije, pokrenutih procesa, učitanih modula jezgre, hardverskih događaja, mrežnih veza itd. Alat radi na svim sustavima, uključujući Windows, Linux, Mac i BSD.
Koristeći Osquery, možete stvoriti SQL upite koji prikazuju informacije o sustavu i koristiti ih za nadgledanje i analizu prikupljenih podataka.
Kako instalirati Osquery na Debian sustave
Instalacija Osquery-a na Debianove sustave vrlo je jednostavna i premda nije dostupna u glavnim Debianovim repoima, dodajući da je prilično jednostavna.
Pogledajmo prvu metodu kojom možete instalirati Osquery na Debian:
Prvi i najjednostavniji korak je preuzimanje instalacijskog programa deb s glavne stranice:
https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.deb
wget https: // pkg.osquery.io / deb / osquery_4.6.0-1.linux_amd64.debsudo dpkg -i osquery_4.6.0-1.linux_amd64.deb
Preporučujemo gornju metodu jer deb paketi imaju vrlo malo ovisnosti o većini Debian distribucija. Međutim, ako želite dodati u apt, upotrijebite sljedeću metodu.
Unesite sljedeće naredbe za instaliranje Osqueryja iz spremišta.
izvoz OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver hkp: // keyserver.ubuntu.com: 80 --recv-tipke $ OSQUERY_KEY
sudo add-apt-repozitorij 'deb [arch = amd64] https: // pkg.osquery.io / deb deb glavni '
sudo apt-get ažuriranje
sudo apt-get instaliraj osquery
Kako koristiti Osquery na Debianu 10
Prije zaranjanja u duboku izradu automatiziranih skripti i rad s ELK stogom, razgovarajmo o jednostavnoj uporabi Osqueryja na lokalnom sustavu.
Osquery ima tri glavne komponente pomoću kojih možete komunicirati s API-jem.
Osquery: Prva komponenta je osqueryi, interaktivna sesija ljuske. Način osqueryi potpuno je samostalni i ne zahtijeva interakciju s demonom Osquery-Osquery. Koristeći način osqueryi, možete interaktivno izvršavati SQL upite i istraživati trenutni sustav sličan SQL ljusci.
BILJEŠKA: Osquery poštuje korisničke prostore i ako školjku pokrenete kao redoviti korisnički način, nećete imati pristup privilegiranim tablicama.
Osqueryd: Druga komponenta je osqueryd, demon Osquery koji se koristi za planiranje upita i bilježenje promjena stanja u pozadini. Daemon djeluje agregiranjem rezultata upita izvršenih u određenom vremenskom okviru i generira zapisnike koji se koriste za usporedbu promjena stanja svakog upita.
Osqueryctl: Treća komponenta je Osqueryctl, pomoćna skripta koja se koristi za testiranje konfiguracije implementacije. Možete ga koristiti i kao upravitelja usluge Osquery, omogućujući vam pokretanje i zaustavljanje usluge.
Osquery je izvan okvira samo jednostavan alat za traženje informacija o sustavu. Međutim, kada kombinirate upite za izgradnju dobro sortiranih i agregiranih podataka, to postaje više od alata za upite.
Da se pokrenemo, krenimo s osnovama da bismo razumjeli kako to funkcionira:
Prvi korak je potražiti pomoć s naredbom:
sudo osqueryd --pomoćOva naredba će prikazati pomoć za demon Osquery, sa popisom argumenata koje možete koristiti u ljusci.
Sljedeći i najlakši način interakcije s Osqueryjem je korištenje sesije osqueryi. Na primjer, ako izvršite naredbu osqueryi bez argumenta, ući ćete u ljusku sličnu SQL-u:
sudo osqueryiUnutar ljuske osqueryi možete izvršavati naredbe i SQL sintaksu da biste odabrali određene informacije o sustavu.
Da biste pogledali način pomoći unutar ljuske osqueryi, upotrijebite naredbu:
osquery> .PomoziteIzvršenje ove naredbe trebalo bi prikazati pomoć u vezi sa sesijom Osquery.
Budući da je Osquery mapiranje relacijske baze podataka za vaš sustav, on ima popis tablica pomoću kojih možete odabrati podatke iz SQLite upita.
BILJEŠKA: Upiti za osquery temelje se na SQLiteu. Možete se pozvati na njegovu dokumentaciju ako Osquery ne pruža dovoljno podataka:
https: // www.sqlite.org / indeks.html
Unutar ljuske osqueryi upotrijebite naredbu:
osquery> .stoloviOva naredba navodi dostupne tablice koje sadrže informacije o sustavu.
Odatle možete odabrati podatke iz dostupnih shema. Na primjer, pogledajte informacije o DNS rješivačima.
ODABERITE * IZ dns_resolvers;Ovisno o shemi koju postavljate, dobit ćete mnoštvo informacija i možda ćete trebati koristiti kombinaciju SQL upita da biste je shvatili.
Iz sljedećeg resursa možete saznati više o tablicama i shemama Osquery:
https: // osquery.io / schema / 4.6.0 /
Osnovni SQL vodič
Osquery djeluje pomoću upita sintakse SQLite za prikupljanje podataka o sustavu. Nemam pojma zašto je Facebook odabrao ovu rutu, ali djeluje.
Ovaj jednostavan vodič raspravljat će o osnovama SQLitea kako bi objasnio kako ga možete koristiti za interakciju s Osqueryjem.
BILJEŠKA: Ovo nikako nije zamišljeno kao vodič za SQL ili srodne jezike. Za više vodiča specifičnih za jezik, pogledajte primarnu dokumentaciju.
Odabir određenih unosa iz tablice
Koristeći osnovnu sintaksu SQLite, možemo odabrati određene podatke iz tablice pomoću naredbe SELECT kako je prikazano:
ODABERITE pid, ime, put IZ procesa;Dodavanje SQL funkcija
Osquery također podržava SQL funkcije, omogućujući vam izvođenje različitih radnji s podacima prikupljenim iz upita.
Na primjer, funkcija brojanja može vam omogućiti prikaz broja korisnika u vašem sustavu.
ODABERITE BROJ (*) OD korisnika;Ova naredba vratit će ukupan broj korisnika u sustavu.
Sposobnost da Osquery koristi SQL sintaksu ogromna je prednost koja vam može pomoći u izgradnji složenih skupova podataka koji vam mogu pružiti detaljniju analizu sustava. Također stvara most koji programeri SQL-a koji koriste motore kao što su PostgreSQL, MySQL i drugi mogu koristiti za jednostavnu prilagodbu.
https: // osquery.readthedocs.io / hr / stabilno / uvod / sql /
Zabavan, sporedni projekt
Kada dalje istražujete Osquery i eksperimentirate s njim, otkrit ćete da je to sveobuhvatan i moćan alat koji olakšava stvaranje projekata posebno prilagođenih za nadgledanje vaših sustava.
Zbog opsega ovog vodiča i da ne bismo zbunili početnike, nećemo se upuštati u složene projekte. Uz to, evo nekoliko alata koje možete izgraditi pomoću Osqueryja:
- Skupljajte zapisnike pomoću Logstasha
- Izgradite nadzornu ploču nadzornika sustava s Elasticsearch, Logstash i Kibana.
- Izgradite Osquery flotu s Kolideom
https: // osquery.readthedocs.io / en / stable / implementacija / log-aggregation /
https: // www.elastičan.co / guide / en / beats / filebeat / 7.10 / filebeat-module-osquery.html
https: // github.com / fleetdm / flota
Zaključak
U ovom smo uputstvu pogledali osnove Osqueryja, uključujući kako ga koristiti za prikupljanje podataka o sustavu.
Iako nije sveobuhvatan, ovaj vodič trebao bi vam pružiti brz i neposredan uvod u Osquery; nikako nije bio referentni vodič.
Slobodno koristite druge resurse kako biste stekli dublje razumijevanje različitih koncepata o kojima smo raspravljali u ovom vodiču.
