使用OSQUERY作为hid灯检测系统异常
一简介
OSQUERY是facebook开源的查询,监控系统的软件,官网https://osquery.io
OSQUERY经常用到的命令有osqueyi及osqueryd。
osqueryi吗?是osquery的交互式壳。通过它可以像查询SQL一样查询系统信息。比如查询内核模块:
二osquery配置概要
1 osquery表,osquery内置了很多表,通过这些表可以查询到系统信息。
简单列举了几个表并标明作用
arp_cache系统arp缓存
file_events监控目录下文件变化
kernel_modules显示内核模块
最后显示登录成功的用户
load_average当前系统负载
用户列出所有用户
流程列出所有进程
listening_ports当前监听端口
process_open_sockets网络连接
下图显示通过osqueryi交互式壳查询arp缓存,系统当前负载,系统当前监听端口。
如果要查询所有表,可以通过osqueryi交互外壳下的.table查询
2配置
linux通过官网rpm包安装的osquery的配置默认位置是:/etc/osquery/osquery。参看
配置格式是json格式、下面是一个配置示例:
{
“options": {
“config_plugin":“filesystem",
“logger_plugin":“filesystem",
“logger_path":“/var/log/osquery",
“pidfile":“/var/osquery/osquery.pidfile",
“worker_threads":“10“,
“enable_monitor":“true"
},
“schedule": {
“system_info": {
“query":“选择主机名,cpu_brand, physical_memory system_info;“,
“interval": 3600
}
},
“packs": {
“secrity":“/etc/osquery/secrity.conf",
“file":“/etc/osquery/file.conf"
}
}
其中选择
设置osquery守护进程的一些配置,日志产生路径、线程,使用内存限制等。
时间表
设置定时任务
包
包可以看做是一系列时间表的集合。
3文件监控,文件监控主要分两部分。1配置监控目录,2查询file_event表。
下面是一个每300秒查询一次file_event表监控目录是/根/家庭目录下的文件的示例。/根或/home/目录下的文件发生变化会在300秒内告警。
{
“schedule": {
“file_events": {
“query":“SELECT * FROM file_events;“,
“removed":假的,
“interval": 300
}
},
“file_paths": {
“homes": [
“/根/% %,,
“/home/% %“
]
}
}
4远程配置。
远程配置分两步1向服务器发送主机信息,注册主机。2从服务器获取配置。
——enroll_secret_path=/etc/osquery/server.pass
——tls_server_certs=/etc/osquery/server.pem
——tls_hostname=11.0.16.118:443
——host_identifier=主机名
enroll_tls_endpoint=/登记
——config_plugin=tls
——config_tls_endpoint=/配置
——config_tls_refresh=86400
——enroll_secret_path注册主机时需要将一个秘钥发送给服务器端。
——tls_server_certs使用远程配置时,必须使用https协议。这里配置的是https站点的公钥。
——tls_hostname远程
——host_identifier=主机名注册主机时会将主机名发送给服务端
——enroll_tls_endpoint通过tls获取注册主机的URL
——config_plugin设置配置方式
——config_tls_endpoint通过tls获取配置时URL
——config_tls_refresh间隔多少秒会重新获取配置。
三安装
1本次安装通过本地配置,日志也记录到本地达成以下目标:进程监控:比如ls这种执行时间特别短的进程也需要有日志。
网络监控:服务器主动发起连接其他主机的都需要监控。
主机arp缓存:主机arp缓存发生变化有告警。
文件监控:指定目录内文件发生变化告警。
用户新增监控:添加用户告警。
用户组新增监控:添加用户组告警。
用户密码修改监控:用户修改密码告警。
用户登录成功监控:用户登录成功告警。
2.1下载
wget https://pkg.osquery.io/rpm/osquery 4.0.2 - 1. - linux.x86_64.rpm
