问题标签 [osquery]

我使用 C++ 和 OSquery SDK 3.3.0 创建了一个 osquery 扩展

在 Windows 上，从命令行一切运行完美。osqueryd.exe 加载我的扩展并且一切正常。在任务管理器中，我可以看到 osqueryd.exe 和我的扩展程序正在运行。当我尝试使用服务管理器将 oswueryd 作为服务运行时，我的扩展没有加载。我可以看到 osqueryd.exe 正在运行，但我的扩展程序没有运行。使用 procmon.exe 我可以看到 osqueryd 尝试加载我的扩展。

extensions.load 包含我的扩展的完整路径。

osquery.flags 包含：

extensions.load 内容：

扩展文件夹的权限配置好了。

更新

从命令行，作为管理员，如果我运行

没有错误出现。

任何想法？

我是新手，我正在使用 osquery 来获取安装在端点上的特定应用程序列表。似乎不可能，正确

我尝试了以下查询，但它为字段返回空白friendly_name，description并且manufacturer。那些字段还不支持吗？

在网络演习期间，我必须“接管”一些已经被感染的 Windows 工作站和服务器。计划是设置例如。一个干净的带有最新补丁的 Windows 7 工作站...然后将受感染的工作站 7 更新为最新的补丁...加载 osquery 数据（文件校验和、文件所有者/组、权限等）并根据此已知信息检查受感染的工作站'基线'。有没有用 osquery 做到这一点的好方法，或者您是否为此推荐了另一种工具？

我已经在我的机器上安装了 Osquery 实用程序。当我触发 SQL 命令时，它会将输出提供给 STDOUT。有没有办法将该输出重定向到文件？

我想要这个输出在一个文件中。我检查了 Osquery 官方文档。但是解决这个特殊问题并没有帮助。 https://osquery.readthedocs.io/en/stable/introduction/sql/#sql-as-understood-by-osquery

在我的 linux 机器上使用 osquery（如果重要的话是 CentOS 7），当使用osqueryi交互式 shell 运行每个查询时，我会自动获得有关迁移的详细信息输出。有没有办法安静/隐藏这样的输出并只返回结果？

我有的：

# osqueryi --json "SELECT * FROM memory_info";

我想要的是：

# osqueryi --json "SELECT * FROM memory_info";

将osqueryi交互式 shell 用于osquery时，我遇到了一个问题，即即使应该禁用日志记录，也会显示警告。这是一个错误吗？

文档解释如下：

--logger_min_status

状态日志记录的最低级别。使用以下值：INFO = 0、WARNING = 1、ERROR = 2。要禁用所有状态消息，请使用 3+。

--logger_min_sterr

写入 stderr 的状态日志的最低级别。使用以下值：INFO = 0、WARNING = 1、ERROR = 2。要禁用所有状态消息，请使用 3+。

我所拥有的：（为简洁起见，结果被截断）

我的期望：

我发现 osquery 可以在交互模式 (osqueryi) 和守护进程模式 (osqueryd) 下工作，它会定期在 localhost 的后台执行 SQL 查询。远程执行 SQL 查询怎么样 - 例如，REST 服务或 JDBC 驱动程序？

我正在执行一些osquery，但我得到了异常

代码

完全异常

我正在使用 osquery-go 构建一个osquery扩展，它为 osqueryi 提供一个虚拟表。我的表需要WHERE针对特定​​字段的子句来生成结果。我把桌子的规格放在哪里？

正如 osquery 的文档中所述，规范通常在规范源文件夹中提供。但是对于扩展，我不知道该怎么做。

我使用osquery-go上提供的示例作为起点，它运行良好。我也可以使用约束过滤输入，但我想得到一个警告，而不是没有结果：

在 osqueryi 中：

我所寻求的：