问题标签 [osquery]

据我了解，Chrome 浏览器使用 WebKit 时间格式作为浏览器历史数据库中的时间戳。WebKit 时间表示为自 1601 年 1 月以来的毫秒数。

我发现许多文章似乎可以回答我的问题，但到目前为止都没有。常见的答案是使用下面的公式将 WebKit 转换为人类可读的本地时间：

来源： https ://linuxsleuthing.blogspot.com/2011/06/decoding-google-chrome-timestamps-in.html Chrome 的时间戳格式是什么？

我正在尝试使用以下配置在通过 Osquery 收集数据时转换时间戳。

结果事件的时间戳记为 1600 年：

如果我更改配置以提取原始时间戳而不进行转换，我会得到如下标记：

根据我所读到的有关 WebKit 时间的内容，它以 17 位数字表示，这显然不是我所看到的。所以我现在不确定这是否是 Osquery、Chrome 或查询问题。感谢所有帮助和见解！

我需要osqueryi在运行我的应用程序之前运行一个调用的进程，并在关闭时终止该进程。（它是一种可以查询的守护进程。我需要它运行才能让我的应用程序工作）。

我用这样的眼镜蛇PersistentPreRun钩子来称呼它：go bootOsqueryi("osqueryi").

在PersistentPostRun挂钩中，我将其关闭：

Osqueryi就像一个交互式外壳。它需要通过os.Stdin，因为显然它使用isatty. 如果我不这样做，它就不会运行。所以我需要开始这个过程，因为我需要查询它，但我不需要向它写任何输入，因为我的想法是使用 go 模块osquery-go从我的应用程序发出查询......

我需要在go例程中调用它，否则我无法将日志输出写入屏幕......

无论如何，它运作良好。但是，当应用程序终止时，我的终端一团糟：我的提示行丢失（看不到我输入的内容）。我猜，因为我给它分配了 STDIN，但我从来没有写过它，同时通过fmt.Println().

有没有办法使这项工作？

我通过使用此链接在我的 Kali Linux 2019.3（VirtualBox VM）上安装了 osquery：https ://osquery.io/downloads/official/4.3.0 （我选择了 debian）

我试图运行 select comond，没有任何反应。只有外表...>

例如，当我再次尝试select* from listening_port时，没有任何反应。我该如何解决这个问题？

我试图通过 pssh 向 linux shell 上的 osquery 发送一个 sql select 语句来拉取安装在一组主机上的所有 jdk 包。

这是查询：

pssh -h myhosts -i 'echo "SELECT name FROM rpm_packages where name like '%jdk%';"| osqueryi --json'

但是“％”的使用给了我以下错误。

Error: near line 1: near "%": syntax error

我试图逃避 % ，但错误仍然相同。任何想法如何克服这个错误？

我正在尝试将 osquery 日志设置为带有 SASL 普通身份验证的 Kafka 生产者。但不确定是否可能。

根据此页面https://osquery.readthedocs.io/en/stable/deployment/logging/#logging-as-a-kafka-producer

有 3 种 Kafka 配置作为选项公开：带或不带端口的代理的逗号分隔列表；一个默认主题[默认值：“”]，和acks...有关详细信息，请参阅官方文档。

这是否意味着osquery不支持身份验证设置？

这是一段配置：

在 Kafka 官方文档中仅提供“JAAS 配置属性”：https ://kafka.apache.org/documentation/#security_sasl_plain_clientconfig

有没有办法将此属性用于osquery？

Osquery 未在窗口中提供 JSON 或 CSV 输出我已经尝试过这些，但无法生成 CSV 或 JSON 输出。

我正在尝试在 Ruby中实现osquery的扩展。

我发现一些库和示例在 Java、Node 和 Python 中做同样的事情，但在 Ruby 语言中实现没有任何帮助。

根据此文档，可以使用 Thrift 生成代码：https ://osquery.readthedocs.io/en/stable/development/osquery-sdk/#thrift-api

到目前为止，我所做的步骤：

• 使用生成的代码thrift -r --gen rb osquery.thrift
• 创建了一个类和一些代码来连接服务器并注册扩展

这是类的代码

要获得，<path_to_socket>您可以使用：

当我尝试使用 获取此表osqueryi时，运行时看不到该表select * from osquery_registry;。

有没有人已经实现了 osquery 扩展？我被卡住了，我不知道如何从这里开始。

我在 mac os 上得到了一些 osquery，并且有一个文件 /private/var/log/osquery/osquery-output.log。该文件占用了将近 16 Gb 的磁盘空间。它是什么？我可以安全地删除它吗？

证书.cer

当我在我的 Linux RH 服务器中使用cat命令读取certificate.cer时。它带有附图中提到的那些未知符号，而不是人类可读的语言，例如：

-----开始证书-----

uiocudcnysyndw77e3fo7nfdslaccu...

-----结束证书-----

我尝试将窗口服务器中的 osquery 连接到 kolide 舰队。osqueryd 服务创建成功，但我的 kolide 车队仪表板上没有任何内容。

我通过以下方式创建了服务：

我的 osquery.flags

我不知道如何更改标志命令以适应窗口服务