非常感谢您提供了如此出色的工具。
我正在运行https://osquery.io/上的安装程序在Windows计算机上安装的osquery。
我想连接我的Web应用程序以显示osquery SQLITE数据库中的报告。
我看不到任何SQLITE数据库文件,请您帮忙或建议我如何连接。
注意:我已经使用osquery-3.2.6.msi进行安装
答案 0 :(得分:1)
不支持在本地连接到osquery数据库,因为该数据库中没有存储任何内容(特别是C:\ ProgramData \ osquery \ osquery.db),除了差异调度查询的差异信息。如果您想使用osquery计划查询的输出,则需要检查将记录器输出配置到何处,默认情况下,该记录位于C:\ProgramData\osquery\log中。您可以更详细地说明您使用的是什么配置吗?
在osquery部署中通常会在某个地方(例如Splunk或ELK堆栈)放置一个集中SIEM,这是很常见的,osquery会将其结果信息发送到,您可以从中构造听起来像您想要的图。我也鼓励您跳入osquery slack,以便您获得更快的响应。希望能有所帮助:)