我发现osquery可以在交互模式(osqueryi)和守护程序模式(osqueryd)下工作,在该模式下,它将定期在本地主机上的后台执行SQL查询。 如何远程执行SQL查询-例如REST服务或JDBC驱动程序?
答案 0 :(得分:2)
当osquery在守护程序模式下运行时,可以启用distributed query facilities。启用此功能后,osqueryd会定期签入远程服务器,以查看是否有要执行的查询(此检查的典型间隔范围为10秒至1分钟)。
请注意,由于osquery所运行的环境的性质,osquery代理不会侦听传入的连接。它只会建立到远程服务器的传出连接,以检查是否要执行查询。
要利用此优势,您需要一台实现osquery远程API的服务器。有一些可用的开源选项:
Fleet(免责声明:由我构建)