osquery 사용하기
모니터링 툴에서 제안이 있길래 검토해봄.
안정적인 오픈소스 무료 시스템 정보조회툴.
SQLITE 의 확장 형태로 동작한다.
시스템의 많은 정보들을 TABLE 형태로 표시해준다.
INSERT UPDATE 등의 SQL VERB 등도 지원해주나, 동작하는것은 오직 SELECT 뿐이다.
즉, 문법상으로 SQL 쿼리가 허용되나 SELECT 외의 것들은 handler 가 비어있다.
몇가지 설정을 통해 (Windows, Linux, Mac) OS 의 정보를 일정한 SQL을 사용하여 조회할 수 있음.
예시 : 시스템에서 현재 사용하고 있는 open_files 를 조회하고 싶을때
리눅스 native의 lsof 명령어를 사용해서 분석해도 된다. 하지만 상당한 노력이 필요하다.
이것을 osquery 로 사용하면 매우 간편하고 깔끔하게 살펴볼 수 있다.
osquery> SELECT * FROM process_open_files;
osquery> select * from shell_history;
모든 서버에 배포하여, 중앙화된 관리를 하면 아래와 같은 모습이 됨.
이게 필요한가… 고민중. 서버를 접속하지 않고 정보를 수집할 수 있어서 좋은건가?
새로운걸 알아가네요
감사합니다.