Si desea obtener la mayor cantidad de información posible sobre los servidores Linux de su centro de datos, Jack Wallen le muestra cómo instalar y usar osquery en Ubuntu Server.
Facebook ha hecho algunas cosas notables, especialmente en el campo de la tecnología. Un poco de la evolución tecnológica que lograron está en la creación de la oscilación. Si nunca ha oído hablar de esta herramienta, expone todo el sistema operativo como una base de datos relacional de alto rendimiento, que puede consultarse mediante consultas basadas en SQL. Osquery es un sistema increíblemente complejo que puede hacer cosas muy difíciles. Se puede instalar en Linux, macOS y Windows y permite a los administradores obtener información sobre numerosas áreas del sistema operativo (incluyendo perfiles, rendimiento, seguridad y más.
Lecturas imprescindibles del centro de datos
Quiero mostrarte cómo instalar osquery en Ubuntu 18.04. Se beneficiará enormemente de la lectura de la documentación oficial antes de sumergirse demasiado en esta herramienta. Necesitará esa comprensión antes de intentar escribir consultas más allá de lo básico.
Mientras tanto, vamos a instalar el sistema de oscurecimiento.
VER: Glosario rápido: Almacenamiento (Tech Pro Research)
Lo que necesitarás
Sólo necesitarás dos cosas para que el oscurecimiento se ejecute en Ubuntu Server 18.04: El sistema operativo instalado y una cuenta de usuario con privilegios sudo. Y con eso fuera del camino, vamos a instalarlo.
Instalación de oscurecedores
La instalación de la oscurecedora es realmente muy sencilla. Antes de instalar la herramienta, actualicémosla y actualicémosla. Recuerde, sin embargo, que si su kernel se actualiza en el proceso, el servidor necesita reiniciar, para que los cambios surtan efecto. Debido a esto, es posible que desee ejecutar los comandos de actualización durante las horas no laborables (si se trata de una máquina de producción.
Para ejecutar la actualización, abra una ventana de terminal y ejecute los siguientes comandos:
sudo apt-get updatesudo apt-get upgrade
Con lo anterior fuera del camino, puede instalar osquery con los siguientes comandos:
export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80Bsudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEYsudo add-apt-repository 'deb[arch=amd64] https://pkg.osquery.io/deb deb main'sudo apt-get install osquery -y
Y eso es todo lo que hay en la instalación.
Configuración de la oscilación
Una vez instalado, tendrá que realizar un poco de configuración. Lo primero es dar acceso a Syslog (para que pueda leer/consumir registros del sistema. Para que esto ocurra, debe estar instalado rsyslog. Para ello, ejecute el comando:
sudo apt-get install rsyslog -y
A continuación, cree un nuevo archivo de configuración con el comando:
sudo nano /etc/rsyslog.d/osquery.conf
Dentro de ese nuevo archivo, agregue lo siguiente:
template( name="OsqueryCsvFormat" type="string" string="%timestamp:::date-rfc3339,csv%,%hostname::::csv%,%syslogseverity:::csv%,%syslogfacility-text:::csv%,%syslogfacility-text:::csv%,%syslogtag::::csv%,%msg::::csv%nc%m.* action(type="ompipe" Pipe="/var/osquery/syslog_pipe" template="OsqueryCsvFormat")
Guarde y cierre el archivo.
Ahora necesitamos crear un archivo de configuración de oscilación personalizado. Emita el comando:
sudo nano /etc/osquery/osquery.conf
En ese nuevo archivo, agregue lo siguiente:
"Opciones": {"config_plugin": "filesystem", "logger_plugin": "filesystem", "logger_path": "/var/log/osquery", "disable_logging": "false", "log_result_events": "true", "schedule_splay_percent": "10", "pidfile": "/var/osquery/osquery.pidfile", "events_expiry": "3600", "database_path": "/var/osquery/osquery.db", "verboso": "false", "worker_threads": "2", "enable_monitor": "true", "disable_events": "false", "disable_audit": "false", "audit_allow_config": "true", "host_identifier": "hakase-labs", "enable_syslog": "true", "syslog_pipe_path": "/var/osquery/syslog_pipe", "force": "true", "audit_allow_sockets": "true", "schedule_default_interval": "3600" }, "horario": { "crontab": {"consulta": "SELECT * FROM crontab;", "interval": 300 }, "system_info": {"consulta": "SELECT hostname, cpu_brand, physical_memory FROM system_info;", "interval": 3600 }, "ssh_login": {"consulta": "SELECCIONAR nombre de usuario, hora, host DESDE el último DONDE type=7", "intervalo": 360 } decoradores": "Carga": "SELECT uuid AS host_uuid FROM system_info;", "SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;", "SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;". ] ), "paquetes": {"osquery-monitoring" {"osquery-monitoring"}: "/usr/share/osquery/packs/osquery-monitoring.conf }}Guarde y cierre el archivo.
Iniciar y habilitar osquery con los comandos:
sudo systemctl start osquerydsudo systemctl enable osqueryd
Reinicie rsyslog con el comando:
sudo systemctl reiniciar rsyslog
Uso básico
Con osquery instalado y trabajando con syslog, veamos cómo se usa la herramienta. Para acceder al shell de oscurecimiento interactivo, ejecute el comando:
osqueryi
Puede emitir el comando .help para ver una lista de comandos básicos (.
Puede ver una lista de los varios usos de la oscilación de las tablas ) para almacenar información emitiendo el comando.tables.
Supongamos que desea leer el esquema de la tabla system_info. Para ello, ejecute el comando:
.schema system_info
Ahora ya sabe qué información se puede obtener con la oscilación. Pero vamos a conseguir algunos detalles reales. Emita el comando:
SELECT * FROM system_info;
Verá una tabla completa de toda la información de su sistema. Sin embargo, esa tabla puede ser un poco incómoda de ver. Vamos a ver los detalles de la CPU con el comando:
SELECT cpu_type, cpu_physical_cores, cpu_logical_cores, cpu_microcode FROM system_info;
Debería ver información muy específica sobre su sistema en la lista .
Supongamos que desea obtener más detalles sobre el núcleo en ejecución que uname -r le proporciona. Emita el comando:
SELECCIONAR * DESDE el kernel_info;
Debería ver mucha información sobre su kernel de sistema operativo .
Sigue aprendiendo
Ahora tienes una comprensión muy básica de cómo funciona la osquería. Una vez más, recomiendo encarecidamente indagar en la documentación oficial para seguir aprendiendo sobre esta herramienta increíblemente poderosa y útil.
Boletín de noticias de Data Center Trends
DevOps, virtualización, la nube híbrida, el almacenamiento y la eficiencia operativa son sólo algunos de los temas del centro de datos que destacaremos. Entregado Lunes y Miércoles