我已经使用C ++和OSquery SDK 3.3.0创建了osquery扩展
在Windows上,从命令行运行都完美。 osqueryd.exe加载我的扩展名,并且一切正常。在任务管理器中,我可以看到osqueryd.exe和我的扩展程序正在运行。 当我尝试使用服务管理器将oswueryd作为服务运行时,未加载我的扩展程序。我可以看到osqueryd.exe正在运行,但我的扩展程序未运行。 使用procmon.exe,我可以看到osqueryd尝试加载扩展程序。
extensions.load包含我的扩展程序的完整路径。
osquery.flags包含:
--disable_extensions=false
--config_path=C:\ProgramData\osquery\osquery.conf
--extensions_autoload=C:\ProgramData\osquery\extensions.load
extensions.load内容:
C:\ProgramData\osquery\extensions\myextension.exe
扩展文件夹的权限已配置好。
更新
如果我运行,则以管理员身份通过命令行
.\osqueryd.exe --verbose
没有错误出现。
有什么主意吗?