Neues Tool für System-Monitoring in SQL von Facebook

30.10.2014

Facebook hat ein neues Tool unter einer Open-Source-Lizenz veröffentlicht, das es erlaubt, den Zustand eines Rechners per SQL abzufragen.

Unter dem Name "osquery" hat Facebook ein Programm unter einer freien Lizenz verfügbar gemacht , mit dem sich der Systemzustand eines Rechners per SQL abfragen lässt. Damit kann ein Rechner beispielsweise einfach in ein Monitoring-System integriert werden. Alternativ erlaubt eine SQL-Konsole interaktive Abfragen wie diese:

SELECT name, path, pid FROM processes WHERE on_disk = 0;

Damit zeigt "osquery" an, welche Prozesse laufen, von denen es kein Pendant mehr auf der Festplatte gibt - ein typisches Muster für Malware. Auch komplexe Abfragen wie SQL-Joins sind möglich, die beispielsweise Daten aus der Prozesstabelle und der Tabelle offener Ports kombinieren:

SELECT DISTINCT process.name, listening.port, listening.address, process.pid FROM processes AS process JOIN listening_ports AS listening ON process.pid = listening.pid;

Laut Facebook läuft das Tool auf Ubuntu, CentOS und OS X. Der Quellcode ist im Github-Repository von "osquery" zu finden, Dokumentation gibt es auf der  osquery-Homepage .

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023