我是OSQuery的新手,我想每5分钟执行一次查询(例如SELECT * FROM last)。有没有机会定义一个脚本,它在crontab或其他类似的东西中执行这个例程?
使用查询作为参数执行脚本可能已经足够了,但是文档中没有任何内容,所以我猜,它还不会受支持。
我查看了他们的社区以及他们的常见问题,但没有找到与我的问题相关的内容。
OSQuery目前是最新版本(1.7.3),自编译,在Ubuntu Server上运行,64位15.10。
如果您需要更多信息来帮助我,请告诉我。
答案 0 :(得分:3)
推荐的方法是使用预定查询。你创建一个'包'像其中一个GitHub link,其中包括查询和频率。然后更新osqueryd配置以包含该包。
答案 1 :(得分:1)
在更多文档和不同网站之后,我发现了一个非常酷的代码段,它允许通过调用osqueryi进程将查询作为参数发送。
/path/to/osqueryi --json "YOUR QUERY"
这会在终端中返回结果--JSON格式。因此编写脚本(任何语言)非常容易,执行上面的代码片段并解析内容。这个脚本也可以是一个cron。
答案 2 :(得分:0)
也许您可以编写脚本(或C程序)来执行查询。
然后使用cron每5分钟运行一次程序。