0

Thanks a lot for such a amazing tool.

I am running osquery installed on windows machine using installer from https://osquery.io/.

I want to connect my web application to show the reports from osquery SQLITE database.

I am unable to see any SQLITE db file, could you please help or suggest how i can connect .

Note: I have installed using osquery-3.2.6.msi

4

1 回答 1

1

不支持在本地连接到 osquery 数据库,因为该数据库(特别是 C:\ProgramData\osquery\osquery.db)中除了差异计划查询的差异信息之外没有存储任何内容。如果您希望使用 osquery 预定查询的输出,您需要检查您配置记录器输出的位置,默认情况下这是在C:\ProgramData\osquery\log. 您能否更具体地了解您正在使用的配置?

osquery 部署通常会在某个地方(例如 Splunk 或 ELK 堆栈)有一个集中的 SIEM,这是很常见的,osquery 会将其结果信息发送到,您可以从中构建听起来像您想要的图形。我还鼓励您加入osquery slack,在那里您可能会得到更快的响应。希望有帮助:)

于 2018-08-20T17:12:39.863 回答