【发布时间】:2018-08-21 01:12:39
【问题描述】:
非常感谢提供这么棒的工具。
我正在使用来自https://osquery.io/ 的安装程序运行安装在 Windows 机器上的 osquery。
我想连接我的 Web 应用程序以显示来自 osquery SQLITE 数据库的报告。
我看不到任何 SQLITE db 文件,请您帮忙或建议我如何连接。
注意:我已经使用 osquery-3.2.6.msi 安装了
【问题讨论】:
标签: osquery
【发布时间】:2018-08-21 01:12:39
【问题描述】:
不支持在本地连接到 osquery 数据库,因为该数据库(特别是 C:\ProgramData\osquery\osquery.db)中除了差异计划查询的差异信息之外没有存储任何内容。如果您希望使用 osquery 预定查询的输出,您需要检查您配置记录器输出的位置,默认情况下这是在 C:\ProgramData\osquery\log 中。您能否更具体地说明您使用的是什么配置?
osquery 部署通常会在某个地方(例如 Splunk 或 ELK 堆栈)有一个集中式 SIEM,这是很常见的,osquery 会将其结果信息发送到,您可以从中构建听起来像您想要的图表.我还鼓励您加入osquery slack,您可能会得到更快的回复。希望对您有所帮助:)
【讨论】: