OS情報を取得するための「Osquery」をUbuntu/Debianでインストールする手順を紹介します。
SQL文でOSの情報だけでなく、攻撃/侵入検知を行うことができ大変便利なツールになります。
恐らく今後、それぞれのLinuxのディストリビューションで標準のパッケージになるでしょう。
なお、Debian系のLinuxのインストール手順は以下になります。
あわせて読みたい
CentOS/RHELでOsqueryをインストールする手順
OS情報を取得するための「Osquery」をCentOS/REHLでインストールする手順を紹介します。 SQL文でOSの情報だけでなく、攻撃/侵入検知を行うことができ大変便利なツールに...
目次
Osqueryとは?
OsqueryとはFacebookが2014年にオープンソースとして公開したSQLベースの攻撃/侵入検出ツールです。
OSのプロセスをリレーショナルデータベースのように表現し、
クエリを使って侵入などの悪意ある活動がないかを検出できます。
もちろんOSの性能情報やリソース状況もOsqueryで確認できます。
リアルタイムで企業インフラの状態についての洞察を得られるため最近注目されております。
対応OSも、
- macOS
- Debian Linux
- RPM Linux
- Free BSD
- Windows
広くカバーしております。
Osqueryのインストール方法
export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt-get update
sudo apt-get install osquery以下が実行ログです。
ubuntu-18@ubuntu-18:~$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
ubuntu-18@ubuntu-18:~$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
[sudo] ubuntu-18 のパスワード:
Executing: /tmp/apt-key-gpghome.aary0YQDYi/gpg.1.sh --keyserver keyserver.ubuntu.com --recv-keys 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
gpg: 鍵97A80C63C9D8B80B: 公開鍵osquery (osquery) <osquery@fb.com>をインポートしました
gpg: 処理数の合計: 1
gpg: インポート: 1
ubuntu-18@ubuntu-18:~$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
ヒット:1 http://jp.archive.ubuntu.com/ubuntu bionic InRelease
取得:2 http://jp.archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]
ヒット:3 http://archive.ubuntulinux.jp/ubuntu bionic InRelease
取得:4 http://jp.archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
ヒット:5 http://archive.ubuntulinux.jp/ubuntu-ja-non-free bionic InRelease
取得:6 http://jp.archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [296 kB]
ヒット:7 http://security.ubuntu.com/ubuntu bionic-security InRelease
取得:8 http://jp.archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [267 kB]
取得:9 http://jp.archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [167 kB]
取得:11 http://jp.archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [167 kB]
無視:10 https://osquery-packages.s3.amazonaws.com/deb deb InRelease
取得:12 https://osquery-packages.s3.amazonaws.com/deb deb Release [1,428 B]
取得:13 https://osquery-packages.s3.amazonaws.com/deb deb Release.gpg [819 B]
取得:14 https://osquery-packages.s3.amazonaws.com/deb deb/main amd64 Packages [8,488 B]
1,071 kB を 7秒 で取得しました (148 kB/s)
パッケージリストを読み込んでいます... 完了
ubuntu-18@ubuntu-18:~$ sudo apt-get update
ヒット:1 http://archive.ubuntulinux.jp/ubuntu bionic InRelease
ヒット:2 http://jp.archive.ubuntu.com/ubuntu bionic InRelease
ヒット:3 http://archive.ubuntulinux.jp/ubuntu-ja-non-free bionic InRelease
ヒット:4 http://jp.archive.ubuntu.com/ubuntu bionic-updates InRelease
取得:5 http://jp.archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
取得:6 http://security.ubuntu.com/ubuntu bionic-security InRelease [83.2 kB]
無視:7 https://osquery-packages.s3.amazonaws.com/deb deb InRelease
ヒット:8 https://osquery-packages.s3.amazonaws.com/deb deb Release
158 kB を 3秒 で取得しました (52.5 kB/s)
パッケージリストを読み込んでいます... 完了
ubuntu-18@ubuntu-18:~$ sudo apt-get install osquery
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています
状態情報を読み取っています... 完了
以下のパッケージが新たにインストールされます:
osquery
アップグレード: 0 個、新規インストール: 1 個、削除: 0 個、保留: 5 個。
8,391 kB のアーカイブを取得する必要があります。
この操作後に追加で 24.1 MB のディスク容量が消費されます。
取得:1 https://osquery-packages.s3.amazonaws.com/deb deb/main amd64 osquery amd64 3.2.6-1.linux [8,391 kB]
8,391 kB を 60秒 で取得しました (141 kB/s)
以前に未選択のパッケージ osquery を選択しています。
(データベースを読み込んでいます ... 現在 152926 個のファイルとディレクトリがインストールされています。)
.../osquery_3.2.6-1.linux_amd64.deb を展開する準備をしています ...
osquery (3.2.6-1.linux) を展開しています...
osquery (3.2.6-1.linux) を設定しています ...
1096 778
ureadahead (0.100.0-20) のトリガを処理しています ...
systemd (237-3ubuntu10.3) のトリガを処理しています ...Osqueryを試してみる
インストールが完了したらOsqueryを試してみたいと思います。
Osqueryを試すには「osqueryi」ユーティリティを起動し、
対話モードで試してみることをオススメします。
osqueryi 試しにOSのバージョン「os_version」テーブルで確認してみましょう。
ubuntu-18@ubuntu-18:~$ osqueryi
Using a virtual database. Need help, type '.help'
osquery> select name, version, patch, platform from os_version;
+--------+-----------------------------+-------+----------+
| name | version | patch | platform |
+--------+-----------------------------+-------+----------+
| Ubuntu | 18.04.1 LTS (Bionic Beaver) | 0 | ubuntu |
+--------+-----------------------------+-------+----------+しっかりOSのバージョンが確認できました。 その他の情報テーブルについては以下の参考ください。
[改訂第3版]Linuxコマンドポケットリファレンスposted with ヨメレバ
沓名 亮典 技術評論社 2015-06-05
