iis服务器助手广告广告

扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 操作系统 >怎么在Linux上使用Osquery设置文件完整性监控
  • 927

0
分享到

怎么在Linux上使用Osquery设置文件完整性监控

2023-06-06 01:06:02 927人浏览 独家记忆
摘要

这篇文章主要讲解了“怎么在linux上使用Osquery设置文件完整性监控”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“怎么在Linux上使用Osquery设置文件完整性监控”吧!Osque

这篇文章主要讲解了“怎么在linux上使用Osquery设置文件完整性监控”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“怎么在Linux上使用Osquery设置文件完整性监控”吧!

Osquery是一个sql驱动操作系统检测和分析工具,它由Facebook创建,支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。

Osquery是一个多平台软件,可以安装在Linux,windowsMacOS和FreeBSD上。它允许我们使用基于SQL的查询来处理操作系统的配置文件、性能、安全检查等。

在本教程中,我们将向您展示如何使用Osquery设置文件完整性监控(FIM)。我们使用的linux操作系统是ubuntu 18.04和Centos 7。

条件

  • Linux(Ubuntu或CentOS)

  • Root权限

  • 完成了第一个osquery指南

步骤一:在Linux服务器上安装osquery

Osquery为所有的安装平台提供了自己的存储库,我们要做的第一步是从官方的osquery存储库安装osquery包。

在Ubuntu上

将osquery密钥添加到系统。

Export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B 
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY

添加osquery存储库并安装。

sudo add-apt-repository'deb [arch = amd64] https://pkg.osquery.io/deb deb 
main'sudo apt install osquery -y

在CentOS上

将osquery密钥添加到系统。

curl -L Https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery

添加并启用osquery存储库,然后安装该软件包。

Sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo 
sudo yum-config-manager --enable osquery-s3-rpm 
sudo yum install osquery -y

等待安装所有软件包

怎么在Linux上使用Osquery设置文件完整性监控

注意:如果您收到关于yum-config-manager命令的错误消息。

sudo: yum-config-manager: command not found

安装'yum-utils'包。

yum -y install yum-utils

步骤二:启用Osquery的Syslog Consumption

Osquery提供了一些功能,可以使用Apple system Log (ASL)读取Apple MacOS上的系统日志,对于Linux则使用syslog。

在此步骤中,我们将通过rsyslog启用osquery的syslog consumption。

在Ubuntu上

使用如下apt命令安装rsyslog

sudo apt install rsyslog –y

在CentOS上

使用如下yum命令安装rsyslog包。

sudo yum install rsyslog -y

安装完成后,转到'/etc/rsyslog.d'目录并创建一个新的配置文件osquery.conf。

cd /etc/rsyslog.d/
vim osquery.conf

然后粘贴如下配置

template(  name =“OsqueryCsvFORMat”  type =“string”  string =“%timestamp ::: date-rfc3339,csv%,%hostname ::: csv%,%syslogseverity ::: csv%,%syslogfacility-text ::: csv%,%syslogtag ::: csv%,%msg ::: csv%\ n“)*。* action(type =”ompipe“Pipe =”/ var / osquery / syslog_pipe“template =”OsqueryCsvFormat“)

保存并退出

怎么在Linux上使用Osquery设置文件完整性监控

步骤三: osquery基本配置

osquery默认配置是'osquery.conf',通常位于'/ etc / osquery'目录中。

在这一步,我们将了解osquery配置组件,创建自定义osquery配置,然后将osqueryd部署为服务。

格式化为JSON 文件的osquery 配置包含如下规范:

  • Options:osqueryd CLI命令的一部分,它决定应用程序的启动和初始化。

  • Schedule:将计划的查询名称的Flow定义到查询详情。

  • Decorators:用于向结果和快照日志添加额外的“decorations”。

  • Packs:一组调度查询

  • More:File Path, YARA, prometheus, Views, EC2, Chef Configuration。

转到'/ etc / osquery'目录并创建一个新的自定义配置'osquery.conf'。

cd / etc / osquery / 
vim osquery.conf

粘贴以下配置。

{    “options”:{        “config_plugin”:“filesystem”,        “logger_plugin”:“filesystem”,        “logger_path”:“/ var / log / osquery”,        “disable_logging”:“false”,        “log_result_events”:“true” ,        “schedule_splay_percent”:“10”,        “pidfile”:“/ var / osquery / osquery.pidfile”,        “events_expiry”:“3600”,        “database_path”:“/ var / osquery / osquery.db”,        “verbose” :“false”,        “worker_threads”:“2”,        “enable_monitor“:”true“,        ”disable_events“:”false“,        ”disable_audit“:”false“,        ”audit_allow_config“:”true“,        “host_identifier”:“hakase-labs”,        “enable_syslog”:“true”,        “syslog_pipe_path”:“/ var / osquery / syslog_pipe”,        “force”:“true”,        “audit_allow_Sockets”:“true”,        “schedule_default_interval” :“3600”    },      “schedule”:{        “crontab”:{            “query”:“SELECT * FROM crontab;”,            “interval”:300        },        “system_info”:{            “query”:“SELECT hostname,cpu_brand, physical_memory FROM system_info;“,            “interval”:3600        },        “ssh_login”:{            “query”:“SELECT username,time,host FROM last WHERE type = 7”,            “interval”:360        }    },     “decorators”:{        “load”:[            “SELECT uuid AS host_uuid FROM system_info;”,            “SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;”        ]    },     “packs”:{        “osquery-monitoring”:“/ usr / share / osquery / packages / osquery -monitoring.conf”    }}

保存并退出

注意:

  • 我们使用'filesystem'作为配置文件和记录器插件

  • 定义'/ var / log / osquery'目录的记录器路径

  • 将SysLog-PIP启用到'/Va/ysLogy/SySalpJixBube文件中。

  • 在调度程序中,我们定义了三个查询来检查crontab, system info, 和ssh login.

  • 启用名为“osquery-monitoring”的osquery包,并将该包放置在'/Ur/Stuts/OsQue/Pokes’目录中。

启动osqueryd daemon service(使其在每次系统引导时启动)。

systemctl start osqueryd 
systemctl enable osqueryd

重新启动rsyslog服务

systemctl restart rsyslog

osquery基本配置完成。

怎么在Linux上使用Osquery设置文件完整性监控

步骤四:使用osquery配置文件完整性监控(FIM)

Osquery使用Linux和FSEvents提供Linux和MacOS Darwin上的文件完整性监控。简单地的说,它使用'file_path'检测定义目录上的任何一个文件的更改,然后将所有活动存储到file_events表中。

在这个步骤中,我们将配置Osquery来使用自定义FIM包监视重要目录,如HOST、SSH目录,以及tmp和www WEB根目录等。

转到“/usr/share/osquery/packs”目录,创建一个新的软件包配置文件“fim.conf”。

cd / usr / share / osquery / packs 
vim fim.conf

配置如下:

{  "queries": {    "file_events": {      "query": "SELECT * FROM file_events;",      "removed": false,      "interval": 300    }  },  "file_paths": {    "homes": [      "/root/.ssh/%%",      "/home/%/.ssh/%%"    ],      "etc": [      "/etc/%%"    ],      "home": [      "/home/%%"    ],      "tmp": [      "/tmp/%%"    ],      "www": [      "/var/www/%%"      ]  }}

保存并退出

返回到 '/etc/osquery'配置目录,编辑osquery.conf文件。

cd /etc/osquery/
vim osquery.conf

在 'packs' 中添加文件完整性监控包配置。

   "packs": {        "osquery-monitoring": "/usr/share/osquery/packs/osquery-monitoring.conf",        "fim": "/usr/share/osquery/packs/fim.conf"    }

怎么在Linux上使用Osquery设置文件完整性监控

保存并退出,然后重新启动osqueryd服务。

systemctl restart osqueryd

怎么在Linux上使用Osquery设置文件完整性监控

注意:继续使用jsON linter“ http://jsonlint.com/ ” 检查JSON配置文件,确保没有错误。

步骤五:测试

我们将通过在定义的目录“home”和“www”上创建一个新文件来测试文件完整性监控包。

转到“/var/www/”目录,创建一个名为“howtoforge.md”的新文件。

cd /var/www/
touch howtoforge.md

转到'/ home / youruser /'目录并创建一个名为'hakase-labs.md'的新文件。

cd / home / vagrant / 
touch hakase-labs.md

使用实时交互模式osqueryi 和osquery 的结果日志检查所有日志监控。

怎么在Linux上使用Osquery设置文件完整性监控

osqueryi

运行下面的osqueryi命令。

osqueryi --config-path /etc/osquery/osquery.conf

检查'file_events'表中文件更改的所有日志。

对于全局更改。

select * from file_events;

对于'home'目录。

select target_path, cateGory, action, atime, ctime, mtime from file_events WHERE category="home";

对于'www' web root目录。

select target_path, category, action, atime, ctime, mtime from file_events WHERE category="www";

怎么在Linux上使用Osquery设置文件完整性监控

osqueryd 结果日志

转到'/ var / log / osquery'目录,您将获得'osqueryd.results.log'文件。

cd / var / log / osquery / 
ls -lah osqueryd.results.log

使用'grep'命令筛选osquery日志。

grep -rin howtoforge.md osqueryd.results.log 
grep -rin hakase-labs.md osqueryd.results.log

你将看到所有已创建的文件信息

怎么在Linux上使用Osquery设置文件完整性监控

使用osquery在Linux Server Ubuntu和CentOS上安装和配置文件完整性监控(FIM)已成功完成。

感谢各位的阅读,以上就是“怎么在Linux上使用Osquery设置文件完整性监控”的内容了,经过本文的学习后,相信大家对怎么在Linux上使用Osquery设置文件完整性监控这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是编程网,小编将为大家推送更多相关知识点的文章,欢迎关注!

点击免费下载>>软考高级考试备考技巧/历年真题/备考精华资料

--结束END--

本文标题: 怎么在Linux上使用Osquery设置文件完整性监控

本文链接: https://www.lsjlt.com/news/245574.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑,方便收藏和打印~

下载Word文档
去做题
猜你喜欢
  • 怎么在Linux上使用Osquery设置文件完整性监控
    这篇文章主要讲解了“怎么在Linux上使用Osquery设置文件完整性监控”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“怎么在Linux上使用Osquery设置文件完整性监控”吧!Osque...
    99+
    2023-06-06
  • 在Linux系统中使用AIDE监控文件的完整性是怎样的
    在Linux系统中使用AIDE监控文件的完整性是怎样的,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。AIDE主要的用途就是检查文件的完整性,审查系统中有那些文件被修改过,AID...
    99+
    2023-06-28
  • Linux监控文件事件怎么配置
    要监控Linux文件事件,您可以使用inotify工具。inotify是Linux内核提供的一个机制,用于监视文件系统中发生的事件。...
    99+
    2023-10-26
    Linux
  • 如何使用文件完整性检查在CentOS系统上检测文件修改
    您可以使用以下步骤在CentOS系统上进行文件完整性检查:1. 安装 `Tripwire`: `Tripwire` 是一个常用的文件...
    99+
    2023-10-10
    CentOS
  • Linux上MySQL的性能监控与告警怎么配置
    在Linux上配置MySQL的性能监控与告警可以通过以下步骤来实现: 安装监控工具:可以使用类似于Prometheus、Graf...
    99+
    2024-05-06
    Linux MySQL
  • 怎么在Linux上使用yum设置ZFS
    这篇文章主要讲解了“怎么在Linux上使用yum设置ZFS”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“怎么在Linux上使用yum设置ZFS”吧!创建 RPM 包要创建 RPM 包,你需要...
    99+
    2023-06-15
  • 在VMware中设置kali linux的文件共享目录(完整版-亲测可用)
    1、在vmware中设置 2、安装vmware tool 手动安装或者用命令安装 apt-get install open-vm-tools-desktop fuse 3、kali内挂载共享文件夹...
    99+
    2023-09-02
    linux 服务器
  • 怎么在Ubuntu上使用Glances监控系统
    这篇文章给大家分享的是有关怎么在Ubuntu上使用Glances监控系统的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。     Glances 是一个用于监控系统的跨平台、基于文本模...
    99+
    2023-06-16
  • 怎么在JAVA中利用WatchService监控文件
    今天就跟大家聊聊有关怎么在JAVA中利用WatchService监控文件,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。使用场景场景一:比如系统中的配置文件,一般都是系统启动的时候只加...
    99+
    2023-05-30
    watchservice java
  • 怎么在Debian 9上安装和使用Netdata性能监控工具
    这篇文章将为大家详细讲解有关怎么在Debian 9上安装和使用Netdata性能监控工具,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。Netdata是一个免费的,开源的,可扩展的,分布式的,实时的,性能和...
    99+
    2023-06-16
  • 怎么使用fileupload控件上传文件
    要使用fileupload控件上传文件,你可以按照以下步骤操作:1. 在HTML页面中添加一个fileupload控件的标签,例如:...
    99+
    2023-08-23
    fileupload
  • 怎么在Java中使用WatchService监控文件内容变化
    这篇文章将为大家详细讲解有关怎么在Java中使用WatchService监控文件内容变化,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。实现方案自己起一个单独线程,定时加载文件,实现较简单,但...
    99+
    2023-05-30
    java watchservice
  • 怎么在Linux/Unix上使用awk打印文件名
    这篇文章给大家分享的是有关怎么在Linux/Unix上使用awk打印文件名的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。Q:我想在 Linux / 类Unix 系统上使用 awk 打印文件名。 如何使用 awk ...
    99+
    2023-06-16
  • 在Linux中安装和使用系统性能监控软件Nmon的方法
    本篇内容介绍了“在Linux中安装和使用系统性能监控软件Nmon的方法”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!Nmon(得名于 Nig...
    99+
    2023-06-12
  • 怎么用Bash脚本监控Linux上的内存使用情况
    这篇文章将为大家详细讲解有关怎么用Bash脚本监控Linux上的内存使用情况,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。方法-1:用 Linux Bash 脚本监视内存利用率并发送电子邮件如果只想在系统...
    99+
    2023-06-16
  • vb怎么用代码设置控件的属性
    在VB中,要设置控件的属性,可以使用以下代码:1. 使用 `控件名.属性 = 值` 的方式设置属性,例如:```vbButton1....
    99+
    2023-10-10
    vb
  • hadoop怎么使用fs -put上传整个文件
    在Hadoop中,使用fs -put命令上传整个文件非常简单。以下是具体步骤: 打开终端并连接到Hadoop集群的主节点。 运行以...
    99+
    2024-03-02
    hadoop
  • 如何在Windows上使用goav的头文件设置golang
    在Windows上使用goav的头文件设置golang,需要按照以下步骤进行操作:1. 安装Go编程语言:首先,你需要在Window...
    99+
    2023-08-18
    Windows
  • 怎么在Linux系统中设置文件权限
    本篇文章给大家分享的是有关怎么在Linux系统中设置文件权限,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。什么是Linux系统Linux是一种免费使用和自由传播的类UNIX操作...
    99+
    2023-06-07
  • 在Linux系统中怎么使用iptraf进行网络监控
    这篇文章主要讲解了“在Linux系统中怎么使用iptraf进行网络监控”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“在Linux系统中怎么使用iptraf进行网络监控”吧!iptraf是一个...
    99+
    2023-06-12
软考高级职称资格查询
iis服务器助手广告
软考职称历年真题下载
软考职称资料下载
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作