问题标签 [osquery]

我对 OSQuery 很陌生，我想SELECT * FROM last每 5 分钟执行一次查询（例如）。是否有机会定义一个脚本，该脚本在 crontab 或类似的其他东西中执行此例程？

使用查询作为参数执行脚本可能就足够了，但是文档中没有任何内容，所以我想，它还不受支持。

我检查了他们的社区以及他们的常见问题解答，但没有找到与我的问题相关的内容。

OSQuery 目前是最新版本（1.7.3），自编译，在 Ubuntu Server 上运行，64 位 15.10。

如果您需要更多信息来帮助我，请告诉我。

osqueryi在运行此命令的 Ubuntu 14.04 LTS 上：

不返回任何行。其他表格如users已填充。

我是否需要“激活”某些东西来填充file表格？是否有另一个表或类似ls命令的东西？

我已经安装了 boost-msvc14 1.59.0 但是每当我尝试安装 osquery 时，它都会说它没有找到 boost-msvc14 1.59.0 。

我的 boost 目录在 C:/local 中。powershell 在下载方面非常慢，这就是我不想使用 powershell 安装它的原因。我该如何解决这个问题？

我有一个关于使用 osquery-python 创建 osquery 扩展的新手问题。我创建了一个小扩展，可以从我的 linux 系统中获取一些额外的 RPM 信息。按照文档中的说明，我在 /etc/osquery/extensions.load 中添加了扩展的路径以使其自动加载。我重新启动了 osqueryd，我看到扩展使用 ps ax 运行。

如果我以交互方式运行 osqueryi，我可以看到表格并获取数据。这一切都完美无缺。

但是，当我运行 osqueryi 命令“单线”时，例如：

我做错了什么？

我正在尝试在 Windows 机器上构建 osquery 的 PoC，但我无法让 osqueryd.exe（或 osqueryi.exe）使用标志文件。我认为在文档或其他内容中一定有我遗漏的东西。我试过的步骤：

1. 验证实际的标志。当我将它们作为命令行参数传递时，它可以工作。
2. 尝试了我在网上找到的两种格式： osqueryd.exe --flagfile=C:\ProgramData\osquery\osquery.flags和osqueryd.exe --flagfile C:\ProgramData\osquery\osquery.flags.
3. 将权限放宽到所有文件都具有完全权限的所有人（我必须添加--allow_unsafe）。
4. 在 SYSTEM 帐户下创建标志文件。
5. 以用户、管理员和系统的身份运行 osquery。
6. 使用 manage-osqueryd.ps1 脚本安装 osquery 服务。当我使用 -startupArgs 传递所有参数时，该服务确实有效。当我只传递标志文件时，它不会。

我有什么明显的遗漏吗？

谢谢

汤姆

我在 Windows 上通过 osqueryi 和/或 osqueryd 使用 OSQuery。

我已经编写了一些 Python 扩展（表），并尝试使用 virtualenv 来运行这些 Python 扩展。

当我从命令行分别运行 osqueryi.exe 和 python 扩展时，扩展加载正常，我可以查询我的 python 表。在这种情况下，我使用 virtualenv ok。

当我使用 extensions.load 时，我的 Python 扩展和

osquery.flags 有下一个内容

在这种情况下，osqueryi.exe 显示下一个错误

首先，我激活我的 virtualenv，然后我使用这个 osquery.flags 文件运行 osqueryi.exe

在这两种情况下，我都使用了相同的 virtualenv 环境，并通过 pip 安装了外部模块。

如何配置 OSquery 以将 virtualenv 与 Python 扩展一起使用。

谢谢

从他们的网站（链接： https ://osquery.readthedocs.io/en/stable/development/windows-provisioning/）为 OsQuery（在我的 Windows 10 VM 上）构建 Windows 环境时，我在我必须运行 tools\make-win64-binaries.bat 命令的阶段。运行该命令后，我得到以下结果：

CMakeLists.txt:402（项目）处的 CMake 错误：无法运行 MSBuild 命令：

获取 VCTargetsPath 的值：

退出代码：1

-- 配置不完整，出现错误！另见“ C:/Windows/System32/osquery/build/windows10/CMakeFiles/CMakeOutput.log”。适用于 .NET Framework 的 Microsoft (R) Build Engine 版本 15.7.179.6572 版权所有 (C) Microsoft Corporation。版权所有。

MSBUILD：错误 MSB1009：项目文件不存在。开关：osquery.sln

[-] osquery 构建失败。

我一直在尝试使用该命令制作 osquery.sln 文件，并在网上寻找解决方案，但没有任何成功。任何帮助将非常感激！

提前致谢

编辑：这是运行 tools\make-win64-dev-env.bat 和 tools\make-win64-binaries.bat tools\make-win64-dev-env.bat 的输出

工具\make-win64-dev-env.bat（续..）

工具\make-win64-binaries.bat

我正在尝试使用 osquery 中的 mongocxx 驱动程序将 osqueryd 的预定查询的结果（JSON）保存到 MongoDB，但是在使用 make 命令构建源代码时出现以下错误

错误：[83%] 构建目标 libosquery_testing [83%] 链接 CXX 可执行文件 osquery_additional_tests /usr/local/osquery/bin/ld.lld：错误：未定义符号：mongocxx::v_noabi::instance::instance()

由 insert_mongo.cpp:27 (/home/tg1/osquery/osquery/logger/plugins/insert_mongo.cpp:27) 引用 /home/tg1/osquery/build/centos7/cache/llvmcache-6394EFF0D08516CB88568DF6DBFA8D472A356497:(osquery::startInsert ( std::__1::basic_string, std::__1::allocator > const&))

有人可以帮我弄清楚如何处理这个......？

Thanks a lot for such a amazing tool.

I am running osquery installed on windows machine using installer from https://osquery.io/.

I want to connect my web application to show the reports from osquery SQLITE database.

I am unable to see any SQLITE db file, could you please help or suggest how i can connect .

Note: I have installed using osquery-3.2.6.msi

我在 Windows 上使用 osquery，我需要帮助：我想检索特定文件的文件来源。例如，我从http://example.com下载了一个文件，并且正在寻找关于 osquery 的查询，该查询显示了我从http://example.com（或类似的东西）下载该特定文件的信息。我认为要获取此信息，我可以比较表文件和表路由之间的时间戳，但路由中没有列时间戳。我怎样才能做到这一点？