Osquery란?
한 마디로 정의하자면 OS의 다양한 자원들에대해 리눅스 CLI가 아닌 RDB에 질의하는것처럼 쿼리를 날려서 정보를 가져올 수 있게해 주는 틀입니다.
(자세한 정보 : https://osquery.io/)
$ osqueryi : osquery 실행
osquery> SELECT * FROM system_info;
: 요약된 Linux의 시스템 정보를 얻는다.
osquery> SELECT * FROM users;
: Linux 시스템에서 모든 사용자의 형식화된 목록을 얻을 수 있다.
osquery> SELECT * FROM kernel_modules;
: 모든 Linux 커널 모듈 및 해당 상태의 목록을 확인할 수 있다.
osquery> .all rpm_packages;
: CentOS, RHEL 및 Fedora등 설치된 모든 RPM 패키지 목록을 확인할 수 있다.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
: Linux 프로세스 실행에 대한 정보를 얻을 수 있다.
- osquery> .all firefox_addons;
- osquery> .all chrome_extensions;
: Firefox 또는 Chrome 을 설치 한 경우 다음 쿼리를 사용하여 모든 익스텐션을 나열할 수 있습니다.
- osquery> .tables; :모든 테이블들을 나열해줌
- osquery> .help; : osquery 관련 전체 도움말 제공
Refernces
지속적으로 성장하고 발전하는 진취적인 태도를 가진 개발자의 삶을 추구합니다.