Расширение osquery-python, вызывающее ошибки osqueryi

У меня есть вопрос новичка о создании расширений osquery с помощью osquery-python. Я создал небольшое расширение, которое получает дополнительную информацию о RPM из моей системы Linux. Следуя инструкциям в документации, я добавил путь к расширению в /etc/osquery/extensions.load, чтобы загрузить его в автозагрузку. Я перезапустил osqueryd и вижу, что расширение работает с использованием ps ax.

Если я в интерактивном режиме запускаю osqueryi, я могу видеть таблицу и получать данные. Все работает отлично.

Однако, когда я запускаю команду osqueryi 'one-liner', такую ​​как:

 osqueryi.tables
Я получаю кучу следующих ошибок с моим выводом:

#INFO:thrift.transport.TSocket:Could not connect to /root/.osquery/shell.em
Traceback (most recent call last):
  File "build/bdist.linux-x86_64/egg/thrift/transport/TSocket.py", line 104, in open
    handle.connect(sockaddr)
  File "/usr/lib64/python2.7/socket.py", line 224, in meth
    return getattr(self._sock,name)(*args)
error: [Errno 2] No such file or directory
ERROR:thrift.transport.TSocket:Could not connect to any of ['/root/.osquery/shell.em']

Что я сделал не так?

Источник

1 ответ

Решение

Расширения запускаются в отдельном процессе. Вы можете видеть ошибки сокета, которые указывают, что процесс расширения не может связаться с процессом osquery. Убедитесь, что osqueryd или osqueryi работает. Ссылка: osquery doc page для расширений.

Источник
Другие вопросы по тегам