Osquery 常见问题

Elastic Stack Serverless Security

此常见问题解答列表回答了有关在 Kibana 中使用 Osquery 的常见问题。

Osquery Manager 与 Osquery 有何不同？

Osquery Manager 集成将 Osquery 功能引入 Elastic Stack，并使跨大量主机管理 Osquery 变得更容易。大多数 Osquery 功能在 Kibana 中的工作方式与您自己部署 Osquery 时相同。但是，下面概述了一些差异和已知问题。

如何授予完全磁盘访问权限？

需要完全磁盘访问权限 (FDA) 才能完全查询 MacOS 上的某些表。 Osquery Manager 尚不支持授予 FDA。这会影响一小部分访问受 Apple 权限提高限制的文件目录的表，包括 file、file_events、es_process_events 以及使用 ATC 配置的任何需要访问这些目录的自定义表。查询这些表时，您将无法从受限目录中获取结果。

为什么我无法查询 carves 表？

Elastic Stack 尚不支持文件雕刻，并且 carves 表查询不返回结果。

Osquery `.help` 命令是否可以在 Kibana 中使用？

在 Kibana 中运行实时查询时，Osquery .help 命令不可用。请改为参考 Osquery 模式，了解所有可用表、字段以及每个表支持的操作系统。

我可以进行文件完整性监控 (FIM) 吗？

是的，您可以使用 Osquery Manager 的高级配置选项设置 Osquery FIM（请参阅自定义 Osquery 配置）。但是，Elastic 还为 Elastic Agent 提供了一个文件完整性监控集成，与 Osquery Manager 当前可用的选项相比，该集成可能更容易配置。

在哪里可以获得有关 osquery 语法方面的帮助？

Osquery 使用 SQLite 的超集进行查询。要开始使用 osquery SQL，请参阅 Osquery 文档。有关更高级问题的帮助，Osquery 社区拥有一个活跃的 Slack 工作区和 GitHub 项目。您可以在 osquery.io 找到两者的链接。

Osquery Manager 的 Osquery 更新频率是多少？

当发布新版本的 Osquery 时，它会包含在后续的 Elastic Agent 版本中，并在升级 Agent 时应用。之后，当从 Kibana 的 Osquery Manager 运行查询时，将使用更新后的 Osquery 版本。有关升级 Fleet 管理的 Elastic Agents 的帮助，请参阅 Fleet 和 Elastic Agent 指南：升级 Fleet 管理的 Elastic Agents。

要检查 Elastic Agent 上安装的 Osquery 版本，您可以运行 SELECT version FROM osquery_info; 作为 Kibana 中的实时查询。响应中的 version 是 Agent 上安装的 Osquery 版本。