forum.opennet.ru

Составление сообщения

Исходное сообщение

"Facebook открыл код системы мониторинга osquery"
Отправлено opennews, 29-Окт-14 21:36

Facebook объявил (https://code.facebook.com/posts/844436395567983/introducing-.../) об открытии исходных текстов проекта osquery (http://osquery.io/), в рамках которого развивается необычный инструмент низкоуровневого мониторинга за состоянием операционной системы. Своеобразность проекта заключается в том, что все отслеживаемые ресурсы отражены в форме виртуальной базы данных, обращение к которой производится через отправку SQL-запросов. Код написан на языке C++ и доступен (https://github.com/facebook/osquery) под лицензией BSD. Из операционных систем поддерживаются OS X и Linux.
Через SQL-запросы можно достаточно подробно анализировать состояние системы, например, как с SQL-таблицами можно работать со списками выполняемых процессов, загружаемыми модулями ядра, списками пользователей, открытыми сетевыми соединениями, таблицами маршрутизации. Каждый запрос отражает текущее состояние в данный момент времени. Несмотря на том, что в рамках проекта развивается подготовлена подборка (https://github.com/facebook/osquery/tree/master/osquery/tables) готовых ресурсов для мониторинга, при желании можно легко добавлять собственные уровни абстрации с поддержкой новых ресурсов и подключать их в форме плагинов.

SQL-запросы можно передавать через стандартный вход в утилиту osquery или использовать специально подготовленный интерактивный интерфейс командной строки. Синтаксис запросов совместим (https://github.com/facebook/osquery/wiki/using-osqueryi) с SQLite. Для планирования опроса состояния систем на разных хостах подготовлен специальный фоновый процесс osqueryd, который может использоваться для создания распределённой инфраструктуры мониторинга, охватывающей несколько серверов. Кроме опроса текущего состояния разных систем, osqueryd занимается накоплением статистики изменений параметров систем, агрегирует имеющуюся статистику и ведёт лог изменений состояния.

В качестве примера, демонстрирующего удобство предлагаемого подхода, приводится запрос для вывода имён, идентификаторов и прикреплённых портов для всех процессов, слушающих сетевые соединения на указанном сетевом интерфейсе:

 SELECT DISTINCT
 process.name, listening.port, process.pid
 FROM processes AS process
 JOIN listening_ports AS listening
 ON process.pid = listening.pid
 WHERE listening.address = '0.0.0.0';


Другой пример, показывает как найти выполняемые процессы, исполняемых файлов которых уже нет в файловой системе (например, для выявления вредоносного ПО):

 SELECT name, path, pid FROM processes WHERE on_disk = 0;


URL: https://code.facebook.com/posts/844436395567983/introducing-.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=40964

Исходное сообщение
"Facebook открыл код системы мониторинга osquery" Отправлено opennews, 29-Окт-14 21:36
Facebook объявил (https://code.facebook.com/posts/844436395567983/introducing-.../) об открытии исходных текстов проекта osquery (http://osquery.io/), в рамках которого развивается необычный инструмент низкоуровневого мониторинга за состоянием операционной системы. Своеобразность проекта заключается в том, что все отслеживаемые ресурсы отражены в форме виртуальной базы данных, обращение к которой производится через отправку SQL-запросов. Код написан на языке C++ и доступен (https://github.com/facebook/osquery) под лицензией BSD. Из операционных систем поддерживаются OS X и Linux. Через SQL-запросы можно достаточно подробно анализировать состояние системы, например, как с SQL-таблицами можно работать со списками выполняемых процессов, загружаемыми модулями ядра, списками пользователей, открытыми сетевыми соединениями, таблицами маршрутизации. Каждый запрос отражает текущее состояние в данный момент времени. Несмотря на том, что в рамках проекта развивается подготовлена подборка (https://github.com/facebook/osquery/tree/master/osquery/tables) готовых ресурсов для мониторинга, при желании можно легко добавлять собственные уровни абстрации с поддержкой новых ресурсов и подключать их в форме плагинов. SQL-запросы можно передавать через стандартный вход в утилиту osquery или использовать специально подготовленный интерактивный интерфейс командной строки. Синтаксис запросов совместим (https://github.com/facebook/osquery/wiki/using-osqueryi) с SQLite. Для планирования опроса состояния систем на разных хостах подготовлен специальный фоновый процесс osqueryd, который может использоваться для создания распределённой инфраструктуры мониторинга, охватывающей несколько серверов. Кроме опроса текущего состояния разных систем, osqueryd занимается накоплением статистики изменений параметров систем, агрегирует имеющуюся статистику и ведёт лог изменений состояния. В качестве примера, демонстрирующего удобство предлагаемого подхода, приводится запрос для вывода имён, идентификаторов и прикреплённых портов для всех процессов, слушающих сетевые соединения на указанном сетевом интерфейсе: <font color="#461b7e"> SELECT DISTINCT process.name, listening.port, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid WHERE listening.address = '0.0.0.0'; </font> Другой пример, показывает как найти выполняемые процессы, исполняемых файлов которых уже нет в файловой системе (например, для выявления вредоносного ПО): <font color="#461b7e"> SELECT name, path, pid FROM processes WHERE on_disk = 0; </font> URL: https://code.facebook.com/posts/844436395567983/introducing-.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=40964

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Facebook объявил (https://code.facebook.com/posts/844436395567983/introducing-osquery/) 
> об открытии исходных текстов проекта osquery (http://osquery.io/), в рамках которого развивается 
> необычный инструмент низкоуровневого мониторинга за состоянием операционной системы. 
> Своеобразность проекта заключается в том, что все отслеживаемые ресурсы отражены в 
> форме виртуальной базы данных, обращение к которой производится через отправку SQL-запросов. 
> Код написан на языке C++ и доступен (https://github.com/facebook/osquery) под лицензией 
> BSD. Из операционных систем поддерживаются OS X и Linux.

> Через SQL-запросы можно достаточно подробно анализировать состояние системы, например, 
> как с SQL-таблицами можно работать со списками выполняемых процессов, загружаемыми модулями 
> ядра, списками пользователей, открытыми сетевыми соединениями, таблицами маршрутизации. 
> Каждый запрос отражает текущее состояние в данный момент времени. Несмотря на 
> том, что в рамках проекта развивается подготовлена подборка (https://github.com/facebook/osquery/tree/master/osquery/tables) 
> готовых ресурсов для мониторинга, при желании можно легко добавлять собственные уровни 
> абстрации с поддержкой новых ресурсов и  подключать их в форме 
> плагинов.

> SQL-запросы можно передавать через стандартный вход в утилиту osquery или использовать 
> специально подготовленный интерактивный интерфейс командной строки. Синтаксис запросов 
> совместим (https://github.com/facebook/osquery/wiki/using-osqueryi) с SQLite. Для 
> планирования опроса состояния систем на разных хостах подготовлен специальный фоновый 
> процесс osqueryd, который может использоваться для создания распределённой инфраструктуры 
> мониторинга, охватывающей несколько серверов. Кроме опроса текущего состояния разных 
> систем, osqueryd занимается накоплением статистики изменений параметров систем, агрегирует 
> имеющуюся статистику и ведёт лог изменений состояния.

> В качестве примера, демонстрирующего удобство предлагаемого подхода, приводится запрос 
> для вывода имён, идентификаторов и прикреплённых портов для всех процессов, слушающих 
> сетевые соединения на указанном сетевом интерфейсе:

>

> SELECT DISTINCT 
> process.name, listening.port, process.pid 
> FROM processes AS process 
> JOIN listening_ports AS listening 
> ON process.pid = listening.pid 
> WHERE listening.address = '0.0.0.0'; 
>

> Другой пример, показывает как найти выполняемые процессы, исполняемых файлов которых уже 
> нет в файловой системе (например, для выявления вредоносного ПО):

> 
> SELECT name, path, pid FROM processes WHERE on_disk = 
> 0; 
>

> URL: https://code.facebook.com/posts/844436395567983/introducing-osquery/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=40964

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру