Как выполнить SQL-запрос для удаленного поиска?
Мне удалось обнаружить, что osquery может работать в интерактивном режиме (osqueryi) и в режиме демона (osqueryd), в котором он будет периодически выполнять SQL-запросы в фоновом режиме на локальном хосте. Как насчет удаленного выполнения SQL-запросов - например, службы REST или JDBC-драйвера?
1 ответ
Когда osquery работает в режиме демона, вы можете включить средства распределенных запросов. Когда это включено, osqueryd будет периодически регистрироваться на удаленном сервере, чтобы увидеть, есть ли запросы для его выполнения (типичные интервалы для этой проверки составляют от 10 секунд до 1 минуты).
Обратите внимание, что из-за особенностей среды, в которой работает osquery, агент osquery не прослушивает входящие соединения. Он только когда-либо устанавливает исходящие соединения с удаленным сервером для проверки выполнения запросов.
Чтобы воспользоваться этим, вам нужен сервер, реализующий удаленные API osquery. Есть несколько вариантов с открытым исходным кодом:
Флот (отказ от ответственности: я строю это)