Menginstal Osquery di Ubuntu
Osquery paket tidak tersedia di repositori default Ubuntu jadi sebelum menginstalnya kita harus menambahkan Osquery apt repository dengan menjalankan perintah berikut di terminal.
[dilindungi email]:~$ echo "deb [arch=amd64] https://pkg.osquery.io/deb deb main" |sudo tee /etc/apt/sources.daftar.d/osquery.daftar
Sekarang kita akan mengimpor kunci penandatanganan dengan menjalankan perintah berikut di terminal.
[dilindungi email]:~$ sudo apt-key adv --keyserver keyserver.ubuntu.com--kunci-rekv 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
Setelah mengimpor kunci penandatanganan, sekarang perbarui sistem Anda dengan menjalankan perintah berikut di terminal.
[dilindungi email]:~$ sudo apt-get updateSekarang instal Osquery dengan menjalankan perintah berikut
[dilindungi email]:~$ sudo apt-get install osquerySetelah menginstal Osquery, sekarang kita harus memeriksa apakah sudah terinstal dengan benar dengan menjalankan perintah berikut
[dilindungi email]:~$ osqueryi --versionJika memberikan output berikut maka sudah terpasang dengan benar
Menggunakan Osquery
Sekarang setelah menginstal, kami siap untuk digunakan Osquery. Jalankan perintah berikut untuk membuka prompt shell interaktif
[dilindungi email]:~$ osqueryi
Mendapatkan bantuan
Sekarang kita dapat menjalankan kueri berbasis SQL untuk mendapatkan data dari sistem operasi. Kami bisa mendapatkan bantuan tentang Osquery dengan menjalankan perintah berikut di shell interaktif.
osquery> .Tolong
Mendapatkan Semua Tabel
Seperti yang disebutkan sebelumnya, Osquery memaparkan data dari sistem operasi sebagai database relasional sehingga memiliki semua data dalam bentuk tabel. Kita bisa mendapatkan semua tabel dengan menjalankan perintah berikut di shell interaktif
osquery> .meja
Seperti yang kita lihat bahwa dengan menjalankan perintah di atas kita bisa mendapatkan banyak tabel. Sekarang kita bisa mendapatkan data dari tabel ini dengan menjalankan kueri berbasis SQL.
Daftar Informasi Tentang semua Pengguna
Kita dapat melihat semua informasi tentang pengguna dengan menjalankan perintah berikut di shell interaktif
osquery> PILIH * DARI pengguna;Perintah di atas akan menampilkan gid, uid, description dll. dari semua pengguna
Kami juga dapat mengekstrak hanya data yang relevan tentang pengguna, misalnya kami hanya ingin melihat pengguna dan bukan informasi lain tentang pengguna. Jalankan perintah berikut di shell interaktif untuk mendapatkan nama pengguna
osquery> PILIH nama pengguna DARI pengguna;Perintah di atas akan menampilkan semua pengguna di sistem Anda
Demikian pula kita bisa mendapatkan nama pengguna bersama dengan direktori tempat pengguna berada dengan menjalankan perintah berikut:.
osquery> PILIH nama pengguna, direktori FROM pengguna;
Demikian pula kami dapat meminta bidang sebanyak yang kami inginkan dengan menjalankan perintah serupa.
Kami juga bisa mendapatkan semua data pengguna tertentu. Misalnya kami ingin mendapatkan semua informasi tentang pengguna root. Kita bisa mendapatkan semua informasi tentang pengguna root dengan menjalankan perintah berikut:.
osquery> SELECT * FROM users WHERE username="root";
Kami juga bisa mendapatkan data spesifik dari bidang tertentu (kolom). Misalnya kami ingin mendapatkan id grup dan nama pengguna pengguna root. Jalankan perintah berikut untuk mendapatkan data ini.
osquery> PILIH nama pengguna, gid DARI pengguna WHERE username="root"
Dengan cara ini kita dapat menanyakan apapun yang kita inginkan dari sebuah tabel.
Daftar semua Proses
Kita dapat membuat daftar lima proses pertama yang berjalan di ubuntu dengan menjalankan perintah berikut di shell interaktif
osquery> SELECT * FROM proses LIMIT 5;
Karena ada banyak proses yang berjalan dalam sistem, maka kami hanya menampilkan lima proses dengan menggunakan kata kunci LIMIT.
Kami dapat menemukan id proses dari proses tertentu misalnya kami ingin menemukan id proses mongodb sehingga kami akan menjalankan perintah berikut di shell interaktif
osquery> PILIH pid FROM proses WHERE name="mongod";
Menemukan Versi Ubuntu
Kami dapat menemukan versi Sistem Ubuntu kami dengan menjalankan perintah berikut di shell interaktif
osquery> PILIH * DARI os_version;Ini akan menunjukkan kepada kita versi sistem operasi kita
Memeriksa Antarmuka Jaringan dan Alamat IP
Kita dapat memeriksa alamat IP, Subnet Mask dari Antarmuka Jaringan dengan menjalankan kueri berikut di shell interaktif.
osquery> PILIH antarmuka,alamat,masker FROM interface_addressesMANA antarmuka TIDAK SEPERTI '%lo%';
Memeriksa Pengguna yang Masuk
Kami juga dapat memeriksa pengguna yang masuk di sistem Anda dengan menanyakan data dari tabel 'pengguna_yang masuk'. Jalankan perintah berikut untuk menemukan pengguna yang masuk.
osquery> PILIH pengguna,host,waktu DARI login_in_users WHERE tty NOT LIKE '-';
Memeriksa Memori Sistem
Kami juga dapat memeriksa Total memori, memori cache memori bebas dll. dengan menjalankan beberapa perintah berbasis SQL di shell interaktif. Untuk memeriksa total memori, jalankan perintah berikut:. Ini akan memberi kita total memori sistem dalam byte.
osquery> SELECT memory_total FROM memory_info;
Untuk memeriksa memori bebas sistem Anda, jalankan kueri berikut di shell interaktif
osquery> SELECT memory_free FROM memory_info;Ketika kita menjalankan perintah di atas, itu akan memberi kita memori bebas yang tersedia di sistem kita
Kami juga dapat memeriksa memori cache sistem menggunakan tabel memory_info dengan menjalankan kueri berikut:.
osquery> pilih cache dari memory_info;
Mencantumkan Grup
Kami dapat menemukan semua grup di sistem Anda dengan menjalankan kueri berikut di shell interaktif
osquery> PILIH * DARI grup;
Menampilkan Port Mendengarkan
Kami dapat menampilkan semua port mendengarkan sistem kami dengan menjalankan perintah berikut di shell interaktif
osquery> SELECT * FROM listening_ports;
Kami juga dapat memeriksa apakah port mendengarkan atau tidak dengan menjalankan perintah berikut di shell interaktif
osquery> SELECT port, alamat FROM listening_ports WHERE port=27017;Ini akan memberi kita output seperti yang ditunjukkan pada gambar berikut:
Kesimpulan
Osquery adalah utilitas perangkat lunak yang sangat berguna untuk menemukan segala jenis informasi tentang sistem Anda. Jika Anda sudah mengetahui kueri berbasis SQL maka sangat mudah digunakan untuk Anda atau jika Anda tidak mengetahui kueri berbasis SQL maka saya telah mencoba yang terbaik untuk menunjukkan kepada Anda beberapa kueri utama yang berguna untuk menemukan data. Anda dapat menemukan semua jenis data dari tabel apa pun dengan menjalankan kueri serupa.