0

我对 OSQuery 很陌生,我想SELECT * FROM last每 5 分钟执行一次查询(例如)。是否有机会定义一个脚本,该脚本在 crontab 或类似的其他东西中执行此例程?

使用查询作为参数执行脚本可能就足够了,但是文档中没有任何内容,所以我想,它还不受支持。

我检查了他们的社区以及他们的常见问题解答,但没有找到与我的问题相关的内容。

OSQuery 目前是最新版本(1.7.3),自编译,在 Ubuntu Server 上运行,64 位 15.10。

如果您需要更多信息来帮助我,请告诉我。

4

3 回答 3

3

推荐的方法是使用计划查询。您可以创建一个类似于这些GitHub 链接之一的“包”,其中包括查询和频率。然后更新 osqueryd 配置以包含该包。

于 2018-02-02T05:16:20.937 回答
1

在更多的文档和不同的站点之后,我发现了一个非常酷的片段,它允许通过调用 osqueryi 进程将查询作为参数发送。

/path/to/osqueryi --json "YOUR QUERY"

这会在您的终端中返回结果 - JSON 格式。所以编写脚本(任何语言)、执行上面的代码片段并解析内容都非常容易。这个脚本也可以是一个 cron。

于 2016-04-14T09:54:03.063 回答
0

也许您可以编写一个脚本(或一个 C 程序)来执行您的查询。

然后使用 cron 每 5 分钟运行一次程序。

于 2016-04-14T09:03:47.863 回答