« Osquery Osquery Manager 集成 »
Elastic 文档 Elastic 集成 Osquery

OSQuery 集成

编辑

OSQuery 集成

编辑

版本

1.19.1 (查看全部)

兼容的 Kibana 版本

8.7.1 或更高版本

支持的无服务器项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

OSQuery 集成收集并解码 osqueryd 以 JSON 格式写入的结果日志。 要设置 osqueryd,请按照您操作系统的 osquery 安装说明进行操作,并配置 filesystem 日志记录驱动程序(默认)。 确保启用 UTC 时间戳。

兼容性

编辑

OSQuery 集成已使用 osquery 2.10.2 版本的日志进行测试。 由于结果以 JSON 格式写入,因此该模块很可能适用于任何版本的 osquery。

此模块可在 Linux、macOS 和 Windows 上使用。

日志

编辑
OSQuery 结果
编辑

这是 OSQuery result 数据集。

示例

result 的示例事件如下

{
    "@timestamp": "2018-01-08T14:51:55.000Z",
    "agent": {
        "ephemeral_id": "207a0fe6-de4f-434f-9c34-d0898df6ac96",
        "id": "eaaf0f0c-2e54-4bd7-a0cc-9968349277bc",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.1.0"
    },
    "data_stream": {
        "dataset": "osquery.result",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "eaaf0f0c-2e54-4bd7-a0cc-9968349277bc",
        "snapshot": false,
        "version": "8.1.0"
    },
    "event": {
        "action": "added",
        "agent_id_status": "verified",
        "created": "2022-11-22T19:16:32.440Z",
        "dataset": "osquery.result",
        "ingested": "2022-11-22T19:16:35Z",
        "kind": "event",
        "type": "info"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": false,
        "hostname": "ubuntu-xenial",
        "id": "72E1287B-D1BC-4FC6-B9D8-64F4352776A9",
        "ip": [
            "172.25.0.7"
        ],
        "mac": [
            "02:42:ac:19:00:07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.10.104-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.3 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/osquery.log"
        },
        "offset": 0
    },
    "osquery": {
        "result": {
            "action": "added",
            "calendar_time": "Mon Jan  8 14:51:55 2018 UTC",
            "columns": {
                "average_memory": "0",
                "avg_system_time": "0",
                "avg_user_time": "0",
                "executions": "38",
                "interval": "60",
                "last_executed": "1515423094",
                "name": "pack_ossec-rootkit_55808.a_worm",
                "output_size": "0",
                "wall_time": "0"
            },
            "counter": "0",
            "decorations": {
                "host_uuid": "72E1287B-D1BC-4FC6-B9D8-64F4352776A9",
                "username": "ubuntu"
            },
            "epoch": "0",
            "host_identifier": "ubuntu-xenial",
            "name": "pack_osquery-monitoring_schedule",
            "unix_time": "1515423115"
        }
    },
    "related": {
        "hosts": [
            "ubuntu-xenial"
        ],
        "user": [
            "ubuntu"
        ]
    },
    "rule": {
        "name": "pack_osquery-monitoring_schedule"
    },
    "tags": [
        "osquery"
    ],
    "user": {
        "name": "ubuntu"
    }
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。 示例:AWS 账户 ID、Google Cloud 组织 ID 或其他唯一标识符。

关键词

cloud.availability_zone

此主机运行所在的可用区。

关键词

cloud.image.id

云实例的镜像 ID。

关键词

cloud.instance.id

主机实例 ID。

关键词

cloud.instance.name

主机实例名称。

关键词

cloud.machine.type

主机的机器类型。

关键词

cloud.project.id

Google Cloud 中的项目名称。

关键词

cloud.provider

云提供商的名称。 示例值为 aws、azure、gcp 或 digitalocean。

关键词

cloud.region

此主机运行所在的区域。

关键词

container.id

唯一容器 ID。

关键词

container.image.name

容器构建所基于的镜像名称。

关键词

container.labels

镜像标签。

对象

container.name

容器名称。

关键词

data_stream.dataset

数据流数据集。

常量关键词

data_stream.namespace

数据流命名空间。

常量关键词

data_stream.type

数据流类型。

常量关键词

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段,并且必须存在于所有事件中。 当跨多个索引进行查询时(这些索引可能符合略有不同的 ECS 版本),此字段允许集成调整为事件的模式版本。

关键词

event.dataset

事件数据集

常量关键词

event.ingested

事件到达中央数据存储的时间戳。 这与 @timestamp 不同,后者是事件最初发生的时间。 它也与 event.created 不同,后者旨在捕获代理第一次看到事件的时间。 在正常情况下,假设没有篡改,时间戳应按时间顺序如下所示:@timestamp < event.created < event.ingested

日期

event.module

事件模块

常量关键词

file.accessed

上次访问文件的时间。 请注意,并非所有文件系统都跟踪访问时间。

日期

file.created

文件创建时间。 请注意,并非所有文件系统都存储创建时间。

日期

file.directory

文件所在的目录。 它应包含驱动器号(如果适用)。

关键词

file.gid

文件的主要组 ID (GID)。

关键词

file.inode

表示文件在文件系统中的 inode。

关键词

file.mode

文件的八进制表示模式。

关键词

file.mtime

上次修改文件内容的时间。

日期

file.name

包含扩展名的文件名,不包含目录。

关键词

file.path

文件的完整路径,包括文件名。 它应包含驱动器号(如果适用)。

关键词

file.path.text

file.path 的多字段。

仅匹配文本

file.size

文件大小(以字节为单位)。 仅当 file.type 为“file”时才相关。

长整数

file.type

文件类型(文件、目录或符号链接)。

关键词

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

关键词

host.architecture

操作系统架构。

关键词

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属域的名称。 例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。 对于 Linux,这可以是主机 LDAP 提供程序的域。

关键词

host.hostname

主机的主机名。 它通常包含主机上的 hostname 命令返回的内容。

关键词

host.id

唯一主机 ID。 由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。 示例:当前 beat.name 的使用。

关键词

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键词

host.name

主机的名称。 它可以包含 Unix 系统上 hostname 返回的内容、完全限定的域名或用户指定的名称。 发送者决定使用哪个值。

关键词

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号(如果有)。

关键词

host.os.family

操作系统系列(如 redhat、debian、freebsd、windows)。

关键词

host.os.kernel

操作系统内核版本(以原始字符串形式)。

关键词

host.os.name

操作系统名称(不包含版本)。

关键词

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台(如 centos、ubuntu、windows)。

关键词

host.os.version

操作系统版本(以原始字符串形式)。

关键词

host.type

主机类型。 对于云提供商,这可以是机器类型,如 t2.medium。 如果是虚拟机,这可以是容器(例如)或您的环境中其他有意义的信息。

关键词

input.type

输入类型

关键词

log.file.path

此事件来自的日志文件的完整路径,包括文件名。 它应包含驱动器号(如果适用)。 如果事件不是从日志文件中读取的,请勿填充此字段。

关键词

log.level

日志事件的原始日志级别。 如果事件源提供日志级别或文本严重性,则此级别或严重性会进入 log.level。 如果您的源未指定,您可以将事件传输的严重性放在此处(例如,Syslog 严重性)。 一些示例是 warnerriinformational

关键词

log.offset

日志偏移量

长整数

osquery.result.action

关键词

osquery.result.calendar_time

osquery 格式化的集合时间的字符串表示形式。

关键词

osquery.result.columns.active

关键词

osquery.result.columns.address

关键词

osquery.result.columns.allow_signed_enabled

关键词

osquery.result.columns.applescript_enabled

关键词

osquery.result.columns.arch

关键词

osquery.result.columns.arguments

关键词

osquery.result.columns.atime

关键词

osquery.result.columns.author

关键词

osquery.result.columns.autoupdate

关键词

osquery.result.columns.average_memory

关键词

osquery.result.columns.avg_system_time

关键词

osquery.result.columns.avg_user_time

关键词

osquery.result.columns.block_size

关键词

osquery.result.columns.blocks

关键词

osquery.result.columns.blocks_available

关键词

osquery.result.columns.blocks_free

关键词

osquery.result.columns.blocks_size

关键词

osquery.result.columns.btime

关键词

osquery.result.columns.build

关键词

osquery.result.columns.build_distro

关键词

osquery.result.columns.build_platform

关键词

osquery.result.columns.bundle_executable

关键词

osquery.result.columns.bundle_identifier

关键词

osquery.result.columns.bundle_name

关键词

osquery.result.columns.bundle_package_type

关键词

osquery.result.columns.bundle_short_version

关键词

osquery.result.columns.bundle_version

关键词

osquery.result.columns.category

关键词

osquery.result.columns.class

关键词

osquery.result.columns.codename

关键词

osquery.result.columns.comment

关键词

osquery.result.columns.compiler

关键词

osquery.result.columns.config_flag

关键词

osquery.result.columns.config_hash

关键词

osquery.result.columns.config_valid

关键词

osquery.result.columns.copyright

关键词

osquery.result.columns.cpu_brand

关键词

osquery.result.columns.created

关键词

osquery.result.columns.creator

关键词

osquery.result.columns.ctime

关键词

osquery.result.columns.datetime

关键词

osquery.result.columns.day

关键词

osquery.result.columns.description

关键词

osquery.result.columns.development

关键词

osquery.result.columns.development_region

关键词

osquery.result.columns.device

关键词

osquery.result.columns.device_alias

关键词

osquery.result.columns.directory

关键词

osquery.result.columns.disabled

关键词

osquery.result.columns.display_name

关键词

osquery.result.columns.element

关键词

osquery.result.columns.enabled

关键词

osquery.result.columns.enabled_nvram

关键词

osquery.result.columns.encrypted

关键词

osquery.result.columns.environment

关键词

osquery.result.columns.executions

关键词

osquery.result.columns.extensions

关键词

osquery.result.columns.filename

关键词

osquery.result.columns.firewall_unload

关键词

osquery.result.columns.flags

关键词

osquery.result.columns.gid

关键词

osquery.result.columns.gid_signed

关键词

osquery.result.columns.global_state

关键词

osquery.result.columns.groupname

关键词

osquery.result.columns.hard_links

关键词

osquery.result.columns.hostname

关键词

osquery.result.columns.hour

关键词

osquery.result.columns.identifier

关键词

osquery.result.columns.inetd_compatibility

关键词

osquery.result.columns.info_string

关键词

osquery.result.columns.inode

关键词

osquery.result.columns.inodes

关键词

osquery.result.columns.inodes_free

关键词

osquery.result.columns.install_time

关键词

osquery.result.columns.installer_name

关键词

osquery.result.columns.instance_id

关键词

osquery.result.columns.interval

关键词

osquery.result.columns.iso_8601

关键词

osquery.result.columns.keep_alive

关键词

osquery.result.columns.label

关键词

osquery.result.columns.last_executed

关键词

osquery.result.columns.last_opened_time

关键词

osquery.result.columns.local_time

关键词

osquery.result.columns.local_timezone

关键词

osquery.result.columns.locale

关键词

osquery.result.columns.location

关键词

osquery.result.columns.logging_enabled

关键词

osquery.result.columns.logging_option

关键词

osquery.result.columns.major

关键词

osquery.result.columns.minimum_system_version

关键词

osquery.result.columns.minor

关键词

osquery.result.columns.minutes

关键词

osquery.result.columns.mode

关键词

osquery.result.columns.model

关键词

osquery.result.columns.model_id

关键词

osquery.result.columns.modified

关键词

osquery.result.columns.month

关键词

osquery.result.columns.mtime

关键词

osquery.result.columns.name

关键词

osquery.result.columns.native

关键词

osquery.result.columns.on_demand

关键词

osquery.result.columns.output_size

关键词

osquery.result.columns.package_id

关键词

osquery.result.columns.patch

关键词

osquery.result.columns.path

关键词

osquery.result.columns.persistent

关键词

osquery.result.columns.physical_memory

关键词

osquery.result.columns.pid

关键词

osquery.result.columns.platform

关键词

osquery.result.columns.platform_like

关键词

osquery.result.columns.process

关键词

osquery.result.columns.process_type

关键词

osquery.result.columns.program

关键词

osquery.result.columns.program_arguments

关键词

osquery.result.columns.protocol

关键词

osquery.result.columns.queue_directories

关键词

osquery.result.columns.removable

关键词

osquery.result.columns.revision

关键词

osquery.result.columns.root_directory

关键词

osquery.result.columns.run_at_load

关键词

osquery.result.columns.sdk

关键词

osquery.result.columns.seconds

关键词

osquery.result.columns.serial

关键词

osquery.result.columns.service

关键词

osquery.result.columns.shell

关键词

osquery.result.columns.size

关键词

osquery.result.columns.source

关键词

osquery.result.columns.source_url

关键词

osquery.result.columns.start_interval

关键词

osquery.result.columns.start_on_mount

关键词

osquery.result.columns.start_time

关键词

osquery.result.columns.state

关键词

osquery.result.columns.status

关键词

osquery.result.columns.stderr_path

关键词

osquery.result.columns.stdout_path

关键词

osquery.result.columns.stealth_enabled

关键词

osquery.result.columns.subclass

关键词

osquery.result.columns.symlink

关键词

osquery.result.columns.timestamp

关键词

osquery.result.columns.timezone

关键词

osquery.result.columns.type

关键词

osquery.result.columns.uid

关键词

osquery.result.columns.uid_signed

关键词

osquery.result.columns.unix_time

关键词

osquery.result.columns.update_url

关键词

osquery.result.columns.usb_address

关键词

osquery.result.columns.usb_port

关键词

osquery.result.columns.used_by

关键词

osquery.result.columns.user_uuid

关键词

osquery.result.columns.username

关键词

osquery.result.columns.uuid

关键词

osquery.result.columns.vendor

关键词

osquery.result.columns.vendor_id

关键词

osquery.result.columns.version

关键词

osquery.result.columns.visible

关键词

osquery.result.columns.wall_time

关键词

osquery.result.columns.watch_paths

关键词

osquery.result.columns.watcher

关键词

osquery.result.columns.weekday

关键词

osquery.result.columns.working_directory

关键词

osquery.result.columns.year

关键词

osquery.result.counter

关键词

osquery.result.decorations.host_uuid

关键词

osquery.result.decorations.name

关键词

osquery.result.decorations.path

关键词

osquery.result.decorations.pid

关键词

osquery.result.decorations.username

关键词

osquery.result.epoch

关键词

osquery.result.host_identifier

运行 osquery 代理的主机的标识符。通常是主机名。

关键词

osquery.result.name

生成此事件的查询的名称。

关键词

osquery.result.unix_time

事件的 Unix 时间戳,以自 epoch 以来的秒数表示。用于计算 @timestamp 列。

关键词

process.name

进程名称。有时称为程序名称或类似名称。

关键词

process.name.text

process.name 的多字段。

仅匹配文本

related.hosts

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键词

related.user

事件中看到的所有用户名或其他用户标识符。

关键词

rule.name

生成事件的规则或签名的名称。

关键词

tags

用于标记每个事件的关键字列表。

关键词

url.full

如果完整的 URL 对您的用例很重要,则应将其存储在 url.full 中,无论此字段是重建的还是存在于事件源中。

wildcard

url.full.text

url.full 的多字段。

仅匹配文本

user.name

用户的短名称或登录名。

关键词

user.name.text

user.name 的多字段。

仅匹配文本

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.19.1

错误修复 (查看拉取请求)
在引用摄取管道中的变量时,使用三重大括号 Mustache 模板。

8.7.1 或更高版本

1.19.0

增强 (查看拉取请求)
将软件包规范更新为 3.0.3。

8.7.1 或更高版本

1.18.2

增强 (查看拉取请求)
已更改所有者

8.7.1 或更高版本

1.18.1

错误修复 (查看拉取请求)
修复 exclude_files 模式。

8.7.1 或更高版本

1.18.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.7.1 或更高版本

1.17.0

增强 (查看拉取请求)
改进了 event.original 检查,以避免在设置时出现错误。

8.7.1 或更高版本

1.16.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.7.1 或更高版本

1.15.0

增强 (查看拉取请求)
软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点状 YAML 键。将 owner.type: elastic 添加到软件包清单中。

8.7.1 或更高版本

1.14.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便使用“安全解决方案”标记集成的仪表板和已保存的搜索,并显示在安全解决方案 UI 中。

8.7.1 或更高版本

1.13.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.9.0。

8.7.1 或更高版本

1.12.0

增强 (查看拉取请求)
将仪表板转换为 Lens。

8.7.1 或更高版本

1.11.0

增强 (查看拉取请求)
确保正确为管道错误设置 event.kind。

8.1.0 或更高版本

1.10.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.8.0。

8.1.0 或更高版本

1.9.0

增强 (查看拉取请求)
将 package-spec 版本更新为 2.7.0。

8.1.0 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.7.0。

8.1.0 或更高版本

1.7.1

增强 (查看拉取请求)
添加了类别和/或子类别。

8.1.0 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.6.0。

8.1.0 或更高版本

1.6.1

增强 (查看拉取请求)
将可视化迁移到仪表板中的值,以最大限度地减少保存的对象混乱并减少加载时间

8.1.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.5.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.4.0

7.14.0 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
更新软件包名称和描述,使其与标准措辞保持一致

7.14.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将软件包更新为 ECS 8.3.0。

7.14.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
更新到 ECS 8.2

7.14.0 或更高版本
8.0.0 或更高版本

1.2.1

增强 (查看拉取请求)
添加多字段文档

7.14.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
更新到 ECS 8.0

7.14.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.14.0 或更高版本
8.0.0 或更高版本

1.0.3

增强 (查看拉取请求)
与准则统一

7.14.0 或更高版本

1.0.2

增强 (查看拉取请求)
更新标题和描述。

1.0.1

错误修复 (查看拉取请求)
修复检查 forwarded 标记的逻辑

1.0.0

增强 (查看拉取请求)
GA 软件包

0.6.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

0.5.2

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.5.1

增强 (查看拉取请求)
更新到 ECS 1.11.0

0.5.0

增强 (查看拉取请求)
更新集成描述

0.4.0

增强 (查看拉取请求)
设置“event.module”和“event.dataset”

0.3.0

增强 (查看拉取请求)
提升 ECS 版本,添加自定义处理器并使 event.original 可选。

0.2.2

增强 (查看拉取请求)
使用文档更新 README

0.2.1

增强 (查看拉取请求)
将 osquery_manager 软件包更新为 beta 版,并添加 config_management 类别

0.1.2

增强 (查看拉取请求)
更新到 ECS 1.9.0

增强 (查看拉取请求)
更新描述以反映日志收集

0.1.1

增强 (查看拉取请求)
修复与 Kibana 的兼容性

0.0.1

增强 (查看拉取请求)
初始版本

« Osquery Osquery Manager 集成 »