Ubuntu

Comment installer et utiliser Osquery dans Ubuntu

Comment installer et utiliser Osquery dans Ubuntu
Osquerie est un utilitaire logiciel open source et multiplateforme qui peut être utilisé pour exposer un système d'exploitation en tant que base de données relationnelle. Nous pouvons obtenir des données du système d'exploitation en exécutant des requêtes basées sur SQL. Dans ce blog, nous verrons comment installer Osquerie dans Ubuntu et comment l'utiliser pour obtenir des données du système d'exploitation.

Installer Osquery dans Ubuntu

Osquerie les packages ne sont pas disponibles dans le référentiel Ubuntu par défaut, donc avant de l'installer, nous devons ajouter le Osquerie apt repository en exécutant la commande suivante dans le terminal.

[email protected] :~$ echo "deb [arch=amd64] https://pkg.osquerie.io/deb deb main" |
sudo tee /etc/apt/sources.liste.d/osquery.liste

Nous allons maintenant importer la clé de signature en exécutant la commande suivante dans le terminal.

[email protected]:~$ sudo apt-key adv --keyserver keyserver.Ubuntu.com
--clés recv 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

Après avoir importé la clé de signature, mettez maintenant à jour votre système en exécutant la commande suivante dans le terminal.

[email protected] :~$ sudo apt-get update

Installer maintenant Osquerie en exécutant la commande suivante

[email protected]:~$ sudo apt-get install osquery

Après l'installation Osquerie, maintenant nous devons vérifier s'il a été installé correctement en exécutant la commande suivante

[email protected]:~$ osqueryi --version

S'il donne la sortie suivante, il est correctement installé

Utiliser Osquery

Maintenant, après l'installation, nous sommes prêts à utiliser Osquerie. Exécutez la commande suivante pour accéder à l'invite du shell interactif

[email protégé] :~$ osqueryi

Obtenir de l'aide

Nous pouvons maintenant exécuter des requêtes basées sur SQL pour obtenir des données du système d'exploitation. Nous pouvons obtenir de l'aide pour Osquerie en exécutant la commande suivante dans le shell interactif.

osquerie> .aider

Obtenir toutes les tables

Comme mentionné précédemment, Osquerie expose les données du système d'exploitation en tant que base de données relationnelle afin qu'il dispose de toutes les données sous forme de tableaux. Nous pouvons obtenir toutes les tables en exécutant la commande suivante dans le shell interactif

osquerie> .les tables

Comme nous pouvons le voir en exécutant la commande ci-dessus, nous pouvons obtenir un tas de tables. Nous pouvons maintenant obtenir des données de ces tables en exécutant des requêtes basées sur SQL.

Liste des informations sur tous les utilisateurs

Nous pouvons voir toutes les informations sur les utilisateurs en exécutant la commande suivante dans le shell interactif

osquery> SELECT * FROM utilisateurs;

La commande ci-dessus affichera gid, uid, description, etc. de tous les utilisateurs

Nous pouvons également extraire uniquement les données pertinentes sur les utilisateurs, par exemple, nous voulons voir uniquement les utilisateurs et pas d'autres informations sur les utilisateurs. Exécutez la commande suivante dans le shell interactif pour obtenir les noms d'utilisateur

osquery> SELECT nom d'utilisateur FROM utilisateurs;

La commande ci-dessus affichera tous les utilisateurs de votre système

De même, nous pouvons obtenir des noms d'utilisateur avec le répertoire dans lequel l'utilisateur existe en exécutant la commande suivante.

osquery> SELECT nom d'utilisateur, répertoire FROM utilisateurs;

De même, nous pouvons interroger autant de champs que nous le souhaitons en exécutant les commandes similaires.

Nous pouvons également obtenir toutes les données d'utilisateurs spécifiques. Par exemple, nous voulons obtenir toutes les informations sur l'utilisateur root. Nous pouvons obtenir toutes les informations sur l'utilisateur root en exécutant la commande suivante.

osquery> SELECT * FROM utilisateurs WHERE username="root";

Nous pouvons également obtenir des données spécifiques à partir de champs spécifiques (colonnes). Par exemple, nous voulons obtenir l'identifiant du groupe et le nom d'utilisateur de l'utilisateur root. Exécutez la commande suivante pour obtenir ces données.

osquery> SELECT nom d'utilisateur, gid FROM utilisateurs WHERE nom d'utilisateur = "root"

De cette façon, nous pouvons interroger tout ce que nous voulons dans une table.

Liste de tous les processus

Nous pouvons lister les cinq premiers processus exécutés dans Ubuntu en exécutant la commande suivante dans le shell interactif

osquery> SELECT * FROM processus LIMIT 5;

Comme il existe de nombreux processus en cours d'exécution dans le système, nous n'avons affiché que cinq processus en utilisant le mot-clé LIMIT.

Nous pouvons trouver l'ID de processus d'un processus spécifique, par exemple, nous voulons trouver l'ID de processus de mongodb, nous allons donc exécuter la commande suivante dans le shell interactif

osquery> SELECT pid FROM processus WHERE name="mongod";

Trouver la version d'Ubuntu

Nous pouvons trouver la version de notre système Ubuntu en exécutant la commande suivante dans le shell interactif

osquery> SELECT * FROM os_version;

Il nous montrera la version de notre système d'exploitation

Vérification des interfaces réseau et des adresses IP

Nous pouvons vérifier l'adresse IP, le masque de sous-réseau des interfaces réseau en exécutant la requête suivante dans le shell interactif.

osquery> SELECT interface, adresse, masque FROM interface_addresses
WHERE interface PAS COMME '%lo%';

Vérification des utilisateurs connectés

Nous pouvons également vérifier les utilisateurs connectés sur votre système en interrogeant les données de la table 'logged_in_users'. Exécutez la commande suivante pour rechercher les utilisateurs connectés.

osquery> SÉLECTIONNEZ l'utilisateur, l'hôte, l'heure À PARTIR des utilisateurs_connectés WHERE tty PAS COMME '-'

Vérification de la mémoire système

Nous pouvons également vérifier la mémoire totale, la mémoire cache de la mémoire libre, etc. en exécutant une commande basée sur SQL dans le shell interactif. Pour vérifier la mémoire totale, exécutez la commande suivante. Cela nous donnera la mémoire totale du système en octets.

osquery> SELECT memory_total FROM memory_info;

Pour vérifier la mémoire libre de votre système, exécutez la requête suivante dans le shell interactif

osquery> SELECT memory_free FROM memory_info;

Lorsque nous exécutons la commande ci-dessus, cela nous donnera de la mémoire libre disponible dans notre système

Nous pouvons également vérifier la mémoire cache du système à l'aide de la table memory_info en exécutant la requête suivante.

osquery> sélectionnez mis en cache à partir de memory_info ;

Lister les groupes

Nous pouvons trouver tous les groupes de votre système en exécutant la requête suivante dans le shell interactif

osquery> SELECT * FROM groupes;

Affichage des ports d'écoute

Nous pouvons afficher tous les ports d'écoute de notre système en exécutant la commande suivante dans le shell interactif

osquery> SELECT * FROM listen_ports;

Nous pouvons également vérifier si un port est à l'écoute ou non en exécutant la commande suivante dans le shell interactif

osquery> SELECT port, adresse FROM listen_ports WHERE port=27017;

Cela nous donnera une sortie comme le montre la figure suivante

Conclusion

Osquerie est un utilitaire logiciel très utile pour trouver tout type d'informations sur votre système. Si vous connaissez déjà les requêtes basées sur SQL, il est très facile à utiliser pour vous ou si vous n'êtes pas au courant des requêtes basées sur SQL, j'ai fait de mon mieux pour vous montrer quelques requêtes majeures utiles pour trouver des données. Vous pouvez trouver n'importe quel type de données à partir de n'importe quelle table en exécutant des requêtes similaires.

Meilleurs jeux à jouer avec le suivi des mains
Oculus Quest a récemment introduit l'idée géniale du suivi manuel sans contrôleurs. Avec un nombre toujours croissant de jeux et d'activités qui exécu...
Comment afficher la superposition OSD dans les applications et jeux Linux en plein écran
Jouer à des jeux en plein écran ou utiliser des applications en mode plein écran sans distraction peut vous couper des informations système pertinente...
Top 5 des cartes de capture de jeu
Nous avons tous vu et aimé des gameplays en streaming sur YouTube. PewDiePie, Jakesepticye et Markiplier ne sont que quelques-uns des meilleurs joueur...