DokumentationAgent OsQuery
Funktion | Abfrage von Hosts mit osquery. Dieses Plugin setzt voraus, dass die ausführbare Datei osqueryi auf dem überwachten Host installiert ist. osqueryi wird über den SKOOR Agent ausgeführt, der ebenfalls auf dem abgefragten Rechner installiert sein und laufen muss. Der osqueryd-Daemon muss nicht ausgeführt werden, damit diese Abfragen funktionieren. |
|---|---|
Alarmierung | Hängt von den Rückgabewerten ab, die in den Parametern des Jobs konfiguriert sind. |
osquery ist ein Open-Source-Tool, das von Facebook entwickelt wurde, um verschiedene Informationen über den Zustand von Rechnern abzufragen. Dazu gehören Informationen wie:
Laufende Prozesse
Geladene Kernel-Module
Aktive Benutzerkonten
Aktive Netzwerkverbindungen
und vieles mehr. osquery stellt ein Betriebssystem als hochleistungsfähige relationale Datenbank dar und ermöglicht die Abfrage mittels SQL-Anweisungen.
osquery ist derzeit für die folgenden Betriebssysteme verfügbar:
Linux
Windows
OS X
FreeBSD
Es kann installiert werden, indem Sie den Anweisungen auf der osquery-Downloadseite folgen: https://osquery.io/downloads/. Alternativ kann das osqueryi-Binary auch einfach nach /usr/bin kopiert werden.
Die manuelle Ausführung von Abfragen auf dem Rechner, auf dem osqueryi installiert ist, ist einfach. Führen Sie einfach den Befehl osqueryi aus, der das interaktive Abfragetool aufruft, und geben Sie dann die Abfrage ein, gefolgt von einem Semikolon:
$ osqueryi Using a virtual database. Need help, type '.help' osquery> select value as string_value1 from cpuid where feature="product_name"; +------------------------------------------+ | string_value1 | +------------------------------------------+ | Dual-Core AMD Opteron(tm) Processor 1218 | +------------------------------------------+ osquery> .quit
Weitere Informationen zu osquery finden Sie hier: https://osquery.readthedocs.io/en/stable/.
Agent OsQuery Detail
Parameter des Agenten OsQuery
Parameter | Beschreibung |
|---|---|
Abfrage | Die Abfrage, die gegen die OsQuery-Datenbank auf dem lokalen (SKOOR Collector) oder entfernten Host ausgeführt werden soll. |
Die Dropdown-Liste Tags ermöglicht die Eingabe vordefinierter Variablen in die obigen Felder, z. B. $NAME$ für den Namen des Auftrags.
Im folgenden Abschnitt mit Beispielen sind einige der möglichen Abfragen aufgeführt. Die von der Abfrage zurückgegebene Ausgabe muss in der richtigen Reihenfolge auf Return-Werte und String-Werte abgebildet werden.
Alternativ kann die Reihenfolge der zurückgegebenen Werte und Zeichenketten beeinflusst werden, indem die Abfrage so angepasst wird, dass sie die erwarteten Wert- und Zeichenkettennamen liefert, z. B. wird die folgende Abfrage den Wert memory_free dem ersten Rückgabewert und memory_total dem zweiten Rückgabewert zuordnen:
select memory_total as return_value2, memory_free as return_value1 from memory_info
Die folgende Abfrage gibt zwei String-Werte in einer bestimmten Reihenfolge zurück:
select feature as string_value1, value as string_value2 from cpuid limit 1
Die Rückgabewerte und String-Werte müssen jedoch noch im Abschnitt Auftragsparameter des Auftrags konfiguriert werden, damit sie im Abschnitt Werte des Auftrags erscheinen.
Agent OsQuery Werte und Alarm Limits
Wert / Alarm Limit | Beschreibung |
|---|---|
<Generisch> | Hängt von den in den Auftragsparametern konfigurierten Rückgabewerten ab. |
Fehlercode | Generischer Job-Fehlercode (siehe Abschnitt Job-Fehlercodes) |
Agent OsQuery Beispiele
Beispiel 1 - Abfrage des CPU-Modells
Abfrage | select value as string_value1 from cpuid where feature="product_name" |
|---|
Dazu muss der folgende String-Wert konfiguriert werden:
Ausgabe 1
Beispiel 2 - Abfrage des gesamten und freien Speichers
Abfrage | select memory_total, memory_free from memory_info |
|---|
Hierfür müssen die folgenden 2 Rückgabewerte konfiguriert werden:
Die Einheit enthält den Namen des Rückgabewerts, eine Einheit und einen Divisor, da osquery die Werte in Bytes zurückgibt:
Ausgabe 2
Zusätzliche Beispielabfragen
Abfrage | Beschreibung | Beispiel-Ausgabe |
|---|---|---|
select username,description,directory from users where username like '%eranger' | Benutzerinformationen lesen |  |
select Wochentag, Tag, Monat, Jahr, unix_time from time | Systemzeit auslesen |  |
select count(pid) as total, name from processes group by name order by total desc limit 10 | Rückgabe von Prozessanzahl und -namen für die 10 aktivsten Prozesse |  |
select * from uptime | Rückgabe der System-Uptime |  |