0

我尝试将窗口服务器中的 osquery 连接到 kolide 舰队。osqueryd 服务创建成功,但我的 kolide 车队仪表板上没有任何内容。

我通过以下方式创建了服务:

sc.exe create osqueryd type= own start= auto error= normal binpath= "C:\Program Files\osquery\osqueryd\osqueryd.exe --flagfile=\Program Files\osquery\osquery.flags" displayname= 'osqueryd'

sc.exe start osqueryd

我的 osquery.flags

--enroll_secret_path="C:\Users\xxx\Desktop\Secret\enroll_secret.txt"
--tls_server_certs="C:\Users\xxx\Desktop\Secret\certiticate.cer"
--tls_hostname=127.0.0.1:8080
--host_identifier=uuid
--enroll_tls_endpoint=/api/v1/osquery/enroll
--config_plugin=tls
--config_tls_endpoint=/api/v1/osquery/config
--config_refresh=10
--disable_distributed=false
--distributed_plugin=tls
--distributed_interval=3
--distributed_tls_max_attempts=3
--distributed_tls_read_endpoint=/api/v1/osquery/distributed/read
--distributed_tls_write_endpoint=/api/v1/osquery/distributed/write
--logger_plugin=tls
--logger_tls_endpoint=/api/v1/osquery/log
--logger_tls_period=10

我不知道如何更改标志命令以适应窗口服务

4

1 回答 1

1

调试此类问题的最佳方法是通过手动运行 osqueryd 来测试您的配置,而不是作为服务。这将让您在设置服务之前查看日志并正确设置设置。

您需要在 Powershell 中使用以下命令:

& 'C:\Program Files\osquery\osqueryd\osqueryd.exe' --flagfile='\Program Files\osquery\osquery.flags'

现在您可以看到 osqueryd 的输出,您或许可以确定问题所在。如果没有,请添加--verbose --tls_dump标志,您将获得更多输出:

& 'C:\Program Files\osquery\osqueryd\osqueryd.exe' --flagfile='\Program Files\osquery\osquery.flags' --verbose --tls_dump

使用它来调试您的问题,适当地设置标志文件。完成此操作后,您应该能够使用相同的标志文件启动服务并成功连接。

于 2020-10-01T16:07:01.453 回答