问题标签 [osquery]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-cloudwatch - 如何使用cloudwatch代理将windows事件日志以单行日志的形式转发到cloudwatch
我正在尝试使用 cloudwatch 代理以单行日志格式转发 Windows 事件日志中的日志。日志正文为 json 格式,在发送到 cloudwatch 后,json 被转换为多行、美化格式。
这是我的 cloudwatch 代理 config.json:
我要转发的日志是 osquery 结果,它们是单行。
有没有办法配置这种行为?
sqlite - 我无法列出在 osquery 5.0.1 上加密的磁盘
我有这个查询来列出我公园里所有没有加密磁盘的机器。
但是,当我开始在某些机器上安装新的 osquery 版本(5.0.1)时,我开始收到那些机器未加密的警报。旧版本的机器(我的旧版本是4.5.1)我没有问题,只是在新版本。
所以我开始这个简单的查询来分析两个版本(5.0.1 和 4.0.9)的差异。首先是 5.0.1 版本
结果是:
如果我把“哪里”的结果是不同的。同一张表,只有一个条件,给了我不同的结果,说磁盘没有加密。
好的,现在我使用旧版本(4.5.1)运行相同的查询。
我不知道这里发生了什么,我的最后一个查询是错误的,或者新版本有一些错误。
那是 lsblk 命令的结果。
有人可以帮助我吗?
linux - Osquery 无法检测到 yara_events
像这样开始osqueryi:sudo osqueryi --config_path /etc/osquery/osquery.conf --disable_events=false --enable_file_events=true
osquery.conf
规则.yar
example_rules.yar
使用上述规则和配置 osquery 不会检测到任何 yara_events。在少数系统中,相同的配置可以工作并检测 yara_events,但在少数系统中却没有。案例 1:系统检测到 file_events 而未检测到 yara_events。案例 2:系统未检测到 file_events 并且仅检测到 yara_events。案例 3:系统同时检测到 file_events 和 yara_events。这种不确定性背后的原因可能是什么。
