OSQuery : インストール2016/10/16 |
|
Facebook社発の OSQuery をインストールして、システムの様々な情報を取得できるようにします。
OSQuery では SQL ライクなクエリーを投入することでシステム情報を参照できます。 |
|
| [1] | OSQuery リポジトリと本体をインストールします。 |
|
[root@dlp ~]# yum -y install https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm [root@dlp ~]# yum -y install osquery
|
| [2] | 基本的な操作方法です。各情報を格納するテーブルの詳細は、以下の公式サイトを参照ください。 ⇒ https://osquery.io/docs/tables/ |
|
# 対話シェル起動 [root@dlp ~]# osqueryi osquery - being built, with love, at Facebook ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Using a virtual database. Need help, type '.help' osquery> # OSバージョンのテーブルを全て表示 osquery> select * from os_version; +--------------+-------+-------+-------+-------+ | name | major | minor | patch | build | +--------------+-------+-------+-------+-------+ | CentOS Linux | 7 | 2 | 1511 | | +--------------+-------+-------+-------+-------+ # システム情報のテーブルからカラムを指定して表示 osquery> select hostname, cpu_brand, hardware_vendor, hardware_model from system_info; +---------------+-------------------------------------------+-----------------+----------------+ | hostname | cpu_brand | hardware_vendor | hardware_model | +---------------+-------------------------------------------+-----------------+----------------+ | dlp.srv.world | Intel(R) Xeon(R) CPU E5-2660 v3 @ 2.60GHz | Red Hat | KVM | +---------------+-------------------------------------------+-----------------+----------------+ # ユーザー情報のテーブルからカラムを指定して 且つ UID が 1000以上のユーザーのみ表示 osquery> select uid, gid, username, shell from users where uid >= 1000; +------+------+----------+-----------+ | uid | gid | username | shell | +------+------+----------+-----------+ | 1000 | 1000 | cent | /bin/bash | | 1001 | 1001 | redhat | /bin/bash | | 1002 | 1002 | ubuntu | /bin/bash | +------+------+----------+-----------+ # CPU タイムのテーブルを表示 osquery> select * from cpu_time; +------+------+------+--------+--------+--------+-----+---------+-------+-------+------------+ | core | user | nice | system | idle | iowait | irq | softirq | steal | guest | guest_nice | +------+------+------+--------+--------+--------+-----+---------+-------+-------+------------+ | 0 | 870 | 0 | 597 | 298134 | 4 | 0 | 11 | 8 | 0 | 0 | | 1 | 3717 | 0 | 1164 | 294858 | 10 | 0 | 3 | 1 | 0 | 0 | | 2 | 1189 | 0 | 873 | 297573 | 13 | 0 | 0 | 33 | 0 | 0 | | 3 | 1150 | 0 | 1233 | 297503 | 6 | 0 | 0 | 2 | 0 | 0 | +------+------+------+--------+--------+--------+-----+---------+-------+-------+------------+ # 対話シェル終了は Ctrl+D osquery> [root@dlp ~]# |
| Sponsored Link |