我使用 C++ 和 OSquery SDK 3.3.0 创建了一个 osquery 扩展
在 Windows 上,从命令行一切运行完美。osqueryd.exe 加载我的扩展并且一切正常。在任务管理器中,我可以看到 osqueryd.exe 和我的扩展程序正在运行。当我尝试使用服务管理器将 oswueryd 作为服务运行时,我的扩展没有加载。我可以看到 osqueryd.exe 正在运行,但我的扩展程序没有运行。使用 procmon.exe 我可以看到 osqueryd 尝试加载我的扩展。
extensions.load 包含我的扩展的完整路径。
osquery.flags 包含:
--disable_extensions=false
--config_path=C:\ProgramData\osquery\osquery.conf
--extensions_autoload=C:\ProgramData\osquery\extensions.load
extensions.load 内容:
C:\ProgramData\osquery\extensions\myextension.exe
扩展文件夹的权限配置好了。
更新
从命令行,作为管理员,如果我运行
.\osqueryd.exe --verbose
没有错误出现。
任何想法?