像查詢資料庫一樣查詢你的 Linux 操作系統信息
Linux 提供了很多幫助用戶收集主機操作系統信息的命令:列出文件或者目錄的屬性信息;查詢安裝的軟體包、正在執行的命令、開機時啟動的服務;或者了解系統的硬體。
每個命令使用自己的輸出格式列出系統的信息。你需要使用 grep
、sed
、awk
這樣的工具過濾命令輸出的結果,以便找到特定的信息。此外,很多這樣的信息會頻繁變動,導致系統狀態的改變。
將所有的信息格式化為一個資料庫的 SQL 查詢的輸出進行查看將會十分有益。想像一下,你能夠像查詢具有類似名稱的 SQL 資料庫表一樣查詢 ps
和 rpm
命令的輸出。
幸運的是,有一個工具剛好實現了這個功能,而且功能更多:Osquery 是一個 開源的 「由 SQL 驅動的操作系統儀錶、監控和分析框架」。
許多處理安全、DevOps、合規性的應用,以及倉儲管理管理(僅舉幾例)在內部依賴 Osquery 提供的核心功能。
安裝 Osquery
Osquery 適用於 Linux、macOS、Windows、FreeBSD。請按照 指南 為你的操作系統安裝最新版本。(我會在下面的例子中使用 4.7.0 版本。)
安裝完成後,確保 Osquery 可以工作:
$ rpm -qa | grep osquery
osquery-4.7.0-1.linux.x86_64
$
$ osqueryi --version
osqueryi version 4.7.0
$
Osquery 組件
Osquery 有兩個主要組件:
osqueri
是一個互動式的 SQL 查詢控制台,可以獨立運行,不需要超級用戶許可權(除非要查詢的表格需要訪問許可權)。osqueryd
像一個安裝在主機的監控守護進程,可以定期調度查詢操作執行,從底層架構收集信息。
可以在不運行 osqueryd
的情況下執行 osqueri
。另一個工具,osqueryctl
,控制守護進程的啟動、停止,並檢查其狀態。
$ rpm -ql osquery-4.8.0-1.linux.x86_64 | grep bin
/usr/bin/osqueryctl
/usr/bin/osqueryd
/usr/bin/osqueryi
$
使用 osqueryi 互動式命令提示符
你和 Osquery 的交互與使用 SQL 資料庫十分相似。事實上,osqueryi
是 SQList shell 的一個修改版。執行 osqueryi
命令進入互動式命令提示符 ,就可以執行 Osquery 的命令,通常以 .
開始:
$ osqueryi
Using a virtual database. Need help, type '.help'
osquery>
要退出互動式命令提示符,執行 .quit
命令回到操作系統的命令提示符:
osquery>
osquery> .quit
$
找出可用的表
如前所述,Osquery 像 SQL 查詢一樣輸出數據,資料庫中的信息通常保存在表中。但是如何在不知道表名的情況下查詢這些表呢?你可以運行 .tables
命令列出所有可以查詢的表。如果你是一個 Linux 長期用戶或者一個系統管理員 ,就會對錶名十分熟悉,因為你一直在使用操作系統命令獲取同樣的信息:
osquery> .tables
=> acpi_tables
=> apparmor_events
=> apparmor_profiles
=> apt_sources
<<裁剪>>
=> arp_cache
=> user_ssh_keys
=> users
=> yara
=> yara_events
=> ycloud_instance_metadata
=> yum_sources
osquery>
檢查各個表的模式
知道表名後,可以查看每個表提供的信息。既然 ps
命令經常用於獲取進程信息,就以 processes
為例。執行 .schema
命令加上表名查看錶中保存的信息。如果要驗證命令返回的結果,可以快速執行 ps -ef
或 ps aux
,對比命令的輸出和表中的內容:
osquery> .schema processes
CREATE TABLE processes(`pid` BIGINT, `name` TEXT, `path` TEXT, `cmdline` TEXT, `state` TEXT, `cwd` TEXT, `root` TEXT, `uid` BIGINT, `gid` BIGINT, `euid` BIGINT, `egid` BIGINT, `suid` BIGINT, `sgid` BIGINT, `on_disk` INTEGER, `wired_size` BIGINT, `resident_size` BIGINT, `total_size` BIGINT, `user_time` BIGINT, `system_time` BIGINT, `disk_bytes_read` BIGINT, `disk_bytes_written` BIGINT, `start_time` BIGINT, `parent` BIGINT, `pgroup` BIGINT, `threads` INTEGER, `nice` INTEGER, `is_elevated_token` INTEGER HIDDEN, `elapsed_time` BIGINT HIDDEN, `handle_count` BIGINT HIDDEN, `percent_processor_time` BIGINT HIDDEN, `upid` BIGINT HIDDEN, `uppid` BIGINT HIDDEN, `cpu_type` INTEGER HIDDEN, `cpu_subtype` INTEGER HIDDEN, `phys_footprint` BIGINT HIDDEN, PRIMARY KEY (`pid`)) WITHOUT ROWID;
osquery>
要進一步確認,可以使用下面的命令查看 RPM 包的結構信息,然後與操作系統命令 rpm -qa
和 rpm -qi
的輸出比較:
osquery>
osquery> .schema rpm_packages
CREATE TABLE rpm_packages(`name` TEXT, `version` TEXT, `release` TEXT, `source` TEXT, `size` BIGINT, `sha1` TEXT, `arch` TEXT, `epoch` INTEGER, `install_time` INTEGER, `vendor` TEXT, `package_group` TEXT, `pid_with_namespace` INTEGER HIDDEN, `mount_namespace_id` TEXT HIDDEN, PRIMARY KEY (`name`, `version`, `release`, `arch`, `epoch`, `pid_with_namespace`)) WITHOUT ROWID;
osquery>
從 Osquery 的 表格文檔 獲取更多信息。
使用 PRAGMA 命令
或許模式信息對你來說太難看懂,還有另一種途徑能夠以詳細的表格格式列印表中的信息:PRAGMA
命令。例如,我想通過 PRAGMA
用一種易於理解的格式查看 rpm_packages
表的信息:
osquery> PRAGMA table_info(rpm_packages);
這種表格式信息的一個好處是你可以關注想要查詢的欄位,查看命令提供的類型信息:
osquery> PRAGMA table_info(users);
+-----+-------------+--------+---------+------------+----+
| cid | name | type | notnull | dflt_value | pk |
+-----+-------------+--------+---------+------------+----+
| 0 | uid | BIGINT | 1 | | 1 |
| 1 | gid | BIGINT | 0 | | 0 |
| 2 | uid_signed | BIGINT | 0 | | 0 |
| 3 | gid_signed | BIGINT | 0 | | 0 |
| 4 | username | TEXT | 1 | | 2 |
| 5 | description | TEXT | 0 | | 0 |
| 6 | directory | TEXT | 0 | | 0 |
| 7 | shell | TEXT | 0 | | 0 |
| 8 | uuid | TEXT | 1 | | 3 |
+-----+-------------+--------+---------+------------+----+
osquery>
進行你的第一次查詢
在你從表、模式、條目中獲取到所有進行查詢所需要的信息後,進行你的第一次 SQL 查詢查看其中的信息。下面的查詢返回系統中的用戶和每個用戶的用戶 ID、組 ID、主目錄和默認的命令行解釋器。Linux 用戶通過查看 /etc/passwd
文件的內容並執行 grep
、sed
、awk
命令獲取同樣的信息。
osquery>
osquery> select uid,gid,directory,shell,uuid FROM users LIMIT 7;
+-----+-----+----------------+----------------+------+
| uid | gid | directory | shell | uuid |
+-----+-----+----------------+----------------+------+
| 0 | 0 | /root | /bin/bash | |
| 1 | 1 | /bin | /sbin/nologin | |
| 2 | 2 | /sbin | /sbin/nologin | |
| 3 | 4 | /var/adm | /sbin/nologin | |
| 4 | 7 | /var/spool/lpd | /sbin/nologin | |
| 5 | 0 | /sbin | /bin/sync | |
| 6 | 0 | /sbin | /sbin/shutdown | |
+-----+-----+----------------+----------------+------+
osquery>
不進入交互模式的查詢
如果你想要在不進入 osqueri
交互模式的情況下進行查詢,該怎麼辦?要用查詢操作寫命令行解釋器腳本,這種方式可能十分有用。這種情況下,可以直接從 Bash 解釋器 echo
SQL 查詢,通過管道輸出到 osqueri
:
$ echo "select uid,gid,directory,shell,uuid FROM users LIMIT 7;" | osqueryi
+-----+-----+----------------+----------------+------+
| uid | gid | directory | shell | uuid |
+-----+-----+----------------+----------------+------+
| 0 | 0 | /root | /bin/bash | |
| 1 | 1 | /bin | /sbin/nologin | |
| 2 | 2 | /sbin | /sbin/nologin | |
| 3 | 4 | /var/adm | /sbin/nologin | |
| 4 | 7 | /var/spool/lpd | /sbin/nologin | |
| 5 | 0 | /sbin | /bin/sync | |
| 6 | 0 | /sbin | /sbin/shutdown | |
+-----+-----+----------------+----------------+------+
$
獲悉系統啟動時開始的服務
Osquery 還可以列出系統啟動時開始的所有服務。例如,可以查詢 startup_items
表獲取啟動時開始的前五項服務的名稱、狀態和路徑:
osquery> SELECT name,type,status,path FROM startup_items LIMIT 5;
name = README
type = Startup Item
status = enabled
path = /etc/rc.d/init.d/README
name = anamon
type = Startup Item
status = enabled
path = /etc/rc.d/init.d/anamon
name = functions
type = Startup Item
status = enabled
path = /etc/rc.d/init.d/functions
name = osqueryd
type = Startup Item
status = enabled
path = /etc/rc.d/init.d/osqueryd
name = AT-SPI D-Bus Bus
type = Startup Item
status = enabled
path = /usr/libexec/at-spi-bus-launcher --launch-immediately
osquery>
查閱二進位文件的 ELF 信息
假如你想要弄清 ls
二進位文件的更多細節,通常會通過 readelf -h
命令,加上 ls
命令的路徑。查詢 Osquery 的 elf_info
表你可以得到同樣的信息:
osquery> SELECT * FROM elf_info WHERE path="/bin/ls";
class = 64
abi = sysv
abi_version = 0
type = dyn
machine = 62
version = 1
entry = 24064
flags = 0
path = /bin/ls
osquery>
現在你應該初步了解如何使用 osqueri
查詢自己想要的信息。然而,這些信息保存在數量巨大的表中;我查詢過的一個系統中,有 156 個不同的表,這個數字可能是十分驚人的:
$ echo ".tables" | osqueryi | wc -l
156
$
要讓事情變得更容易,可以從這些表開始獲取你的 Linux 系統的信息:
系統信息表:
osquery> select * from system_info;
系統限制信息:
osquery> select * from ulimit_info;
由各種進程打開的文件:
osquery> select * from process_open_files;
系統上開放的埠:
osquery> select * from listening_ports;
運行中的進程信息:
osquery> select * from processes;
已安裝的包信息:
osquery> select * from rpm_packages;
用戶登錄信息:
osquery> select * from last;
系統日誌信息:
osquery> select * from syslog_events;
了解更多
Osquery 是一個強大的工具,提供了許多可以用於解決各種使用案例的主機信息。你可以閱讀 文檔 了解更多 Osquery 的信息。
via: https://opensource.com/article/21/6/osquery-linux
作者:Gaurav Kamathe 選題:lujun9972 譯者:YungeG 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive