Osquery 常见问题解答

这份常见问题解答列表回答了在 Kibana 中使用 Osquery 的常见问题。

Osquery Manager 与 Osquery 有什么区别？编辑

Osquery Manager 集成将 Osquery 功能引入 Elastic Stack，并简化了在大量主机上管理 Osquery 的过程。大多数 Osquery 功能在 Kibana 中的工作方式与您自己部署 Osquery 时相同。但是，有一些区别和已知问题，如下所述。

如何授予完全磁盘访问权限？编辑

完全磁盘访问权限 (FDA) 是在 MacOS 上完全查询某些表所必需的。目前不支持为 Osquery Manager 授予 FDA。这会影响一小部分访问由于 Apple 的权限提升而受到限制的文件目录的表，包括 file、file_events、es_process_events 以及使用 ATC 配置的任何需要访问这些目录的自定义表。查询这些表时，您将无法从受限制的目录中获取结果。

为什么我无法查询 carves 表？编辑

Elastic Stack 目前不支持文件雕刻，并且 carves 表查询不会返回结果。

Osquery 的 .help 命令在 Kibana 中有效吗？编辑

在 Kibana 中运行实时查询时，Osquery 的 .help 命令 不可用。相反，请参考 Osquery 架构，了解所有可用的表、字段以及每个支持的操作系统。

我可以在 Kibana 中使用 Osquery 扩展吗？编辑

Osquery Manager 目前不支持 Osquery 扩展。

我可以进行文件完整性监控 (FIM) 吗？编辑

是的，您可以使用 Osquery Manager 的高级配置选项设置 Osquery FIM（请参阅 自定义 Osquery 配置）。但是，Elastic 还为 Elastic Agent 提供了 文件完整性监控 集成，与 Osquery Manager 目前提供的选项相比，它可能更容易配置。

在哪里可以获得 osquery 语法的帮助？编辑

Osquery 使用 SQLite 的超集进行查询。要开始使用 osquery SQL，请参考 Osquery 文档。对于更高级的问题，Osquery 社区有一个活跃的 Slack 工作区和 GitHub 项目。您可以在 osquery.io 上找到这两个链接。

Osquery Manager 的 Osquery 更新频率如何？编辑

当发布新的 Osquery 版本 时，它将包含在随后的 Elastic Agent 版本中，并在升级代理时应用。之后，在 Kibana 中从 Osquery Manager 运行查询时，将使用更新的 Osquery 版本。有关 升级 Fleet 管理的 Elastic Agent 的帮助，请参考 Fleet 和 Elastic Agent 指南。

要检查 Elastic Agent 上安装了哪个 Osquery 版本，您可以在 Kibana 中运行 SELECT version FROM osquery_info; 作为实时查询。响应中的 version 是代理上安装的 Osquery 版本。