在最簡單的形式中，osquery 由運(yùn)行在計(jì)算機(jī)上的守護(hù)進(jìn)程和客戶端組成。守護(hù)進(jìn)程根據(jù) osquery 配置文件收集有關(guān)主機(jī)的信息。配置文件告訴 osquery 要收集什么。數(shù)據(jù)存儲在該計(jì)算機(jī)本地的數(shù)據(jù)庫中。快速訪問此信息的最簡單方法是運(yùn)行 osqueryi 二進(jìn)制文件。這將打開一個簡單的命令行，您可以從中創(chuàng)建和運(yùn)行簡單的 SQL 查詢以顯示有關(guān)系統(tǒng)的數(shù)據(jù)。

拿 osquery 來試駕是非常容易的。訪問 osquery.io 并下載適用于您想要的任何操作系統(tǒng)的軟件包。如果您運(yùn)行 Windows，您將下載 osquery.msi 并運(yùn)行它以將程序安裝到 c:Program Filesosquery。打開終端提示符，導(dǎo)航到該文件夾??并運(yùn)行 osqueryi.exe 以使用默認(rèn)配置啟動 osquery。使用此默認(rèn)配置，您可以立即查詢有關(guān)您系統(tǒng)的有趣數(shù)據(jù)，并讓您了解它的功能，然后您可以擴(kuò)展您的部署，使其最適合您的環(huán)境或組織。

在最基本的狀態(tài)下，您可以使用基本的 SQL 語法以交互方式查詢主機(jī)。例如，要顯示 Windows 計(jì)算機(jī)上正在運(yùn)行的服務(wù)的名稱，請運(yùn)行查詢：

osquery> SELECT display_name FROM services WHERE status='RUNNING';

Osquery 將相似的查詢組組織成包。默認(rèn)安裝中包含的包示例包括硬件監(jiān)控、it-compliance 和 osquery-monitoring。安全特定包還包括查詢，讓您可以搜索 Windows 和 Mac 攻擊以及 Windows 強(qiáng)化。這些查詢利用了操作系統(tǒng)的特定功能。例如，Windows 強(qiáng)化包包括在注冊表中查找可能導(dǎo)致安全性較低的配置的特定值的查詢。

Osquery 是一個可以詢問有關(guān)它正在監(jiān)控的系統(tǒng)的各種問題的地方。例如，您可以查詢已安裝的補(bǔ)丁：

osquery>SELECT * from patches;

或者找出系統(tǒng)的默認(rèn)網(wǎng)關(guān)：

osquery> SELECT * from routes WHERE

作為另一個示例，要查看 Windows 計(jì)算機(jī)的所有啟動項(xiàng)，只需運(yùn)行查詢：

osquery> SELECT * FROM startup_items;

返回的信息包括項(xiàng)目的名稱、其位置的路徑、項(xiàng)目在哪個用戶下運(yùn)行以及如何通過注冊表或啟動文件夾調(diào)用項(xiàng)目。

可以肯定的是，這些都是非常基本的查詢，而 osquery 的真正力量在于將這些數(shù)據(jù)的收集集成到其他工具和自動化中。例如，如果某個程序在特權(quán)帳戶下啟動，您可以設(shè)置警報(bào)。

如果您不確定可以查詢什么，請鍵入：

osquery>.table

要查看 osquery 創(chuàng)建的表的列表，請運(yùn)行以下命令：

osquery>.schema

獲取可在查詢中使用的字段列表。

Osquery 很流行，您會找到很多關(guān)于如何使用該工具和創(chuàng)建非常有用的查詢的在線資源和教程。

Osquery 得益于強(qiáng)大的開源社區(qū)的貢獻(xiàn)。可以安裝或部署多個社區(qū)項(xiàng)目以擴(kuò)展 osquery 對您的安裝的價值。例如，許多系統(tǒng)管理員選擇在他們所有的服務(wù)器上部署 osquery，并部署一個控制服務(wù)器來管理這批 osquery 安裝。這個控制服務(wù)器可以讓你集中查詢來自幾個不同系統(tǒng)的數(shù)據(jù)，以及管理各個 osquery 代理的操作。總而言之，osquery 靈活且可擴(kuò)展，是系統(tǒng)管理員工具箱的絕佳工具。