跟踪服务器所发生的事情绝非易事。一旦您开始关注数据中心或云中成百上千的服务器实例,事情就会变得非常痛苦。这就是osquery可以使用的地方。这个开源项目使您可以使用SQL来监视服务器,可以帮助您掌握服务器中的内容。
但是用户认为osquery的创始人Facebook一直在忽略osquery。展望未来,Facebook已将osquery移交给The Linux Foundation。在那里,来自Dactiv,Facebook,Google,Kolide,Trail of Bits,Uptycs以及其他投资osquery的公司的工程师和开发人员将在新的基金会osquery Foundation下为其提供支持。
这是一件好事,因为虽然您可能没有听说过osquery,但许多主要公司(例如Airbnb,Dropbox,Netflix,Palantir,Etsy和Uber)都依赖它。这个项目需要重新获得生命。
它是如何工作的?Osquery将服务器操作系统公开为高性能的关系数据库。这样,您就可以编写基于SQL的查询来探索操作系统数据和底层系统信息。在osquery中,SQL表代表抽象概念,例如正在运行的进程,已加载的内核模块,打开的网络连接,浏览器插件,硬件事件或文件哈希,这些都保存在SQLite DBMS中。
Osquery通过简单的插件和扩展API获取其SQL表的数据。已经存在许多osquery表,并且正在编写更多表。有了这些数据,系统管理员就可以编写基于SQL的查询来监视系统并检测和调查其中的异常。
Uptycs将osquery用作其安全平台,声称osquery代表了对如今困扰安全行业的分散,孤立的方法的重新思考。Facebook没有使用孤立的“每个功能一个代理”的方法,而是创建了osquery来从任何操作系统中提取和规范化数据。
展望未来,Facebook工程经理兼长期osquery贡献者Teddy Reed认为:“创建osquery Foundation是支持社区持续发展和优先事项的最佳下一步。”
Trail of Bits的首席安全工程师Mike Myers表示同意。“ Trail of Bits长期以来一直认为osquery注定会成为安全基础结构的重要组成部分。我们的参与始于2016年,当时我们为osquery贡献了Windows平台支持。Trailof Bits只看到了对osquery项目的兴趣,我们很高兴该项目将过渡到基础并进入新的增长阶段。”
继续前进,osquery Foundation将拥有一个开放的治理模型,该模型鼓励参与和技术贡献,并为长期管理提供框架。由活跃的社区贡献者组成的技术咨询委员会(TAB)将帮助促进向该新模型的过渡,并推动基金会成员提出的集体优先事项。
我希望一切顺利。Osquery已经被证明是有用的,并且在更多的支持下,它将仍然更加有用。