Osquery 常见问题解答

此常见问题解答列表回答了有关在 Kibana 中使用 Osquery 的常见问题。

Osquery Manager 集成将 Osquery 功能引入 Elastic Stack，并使跨大量主机管理 Osquery 更加容易。在 Kibana 中，大多数 Osquery 功能的工作方式与您自己部署 Osquery 时相同。但是，下面概述了一些差异和已知问题。

完全磁盘访问权限 (FDA) 是完全查询 MacOS 上某些表所必需的。Osquery Manager 尚不支持授予 FDA。这会影响一小部分表，这些表访问由于 Apple 提高的权限而受到限制的文件目录，包括 file、file_events、es_process_events 以及任何配置了 ATC 且需要访问这些目录的自定义表。查询这些表时，您将不会从受限目录中获取结果。

Elastic Stack 尚不支持文件雕刻，并且 carves 表查询不会返回结果。

在 Kibana 中运行实时查询时，无法使用 Osquery .help 命令。相反，请参阅 Osquery 架构，了解所有可用的表、字段以及每个表支持的操作系统。

Osquery Manager 当前不支持 Osquery 扩展。

是的，您可以使用 Osquery Manager 的高级配置选项设置 Osquery FIM（请参阅 自定义 Osquery 配置）。但是，Elastic 还为 Elastic Agent 提供了一个 文件完整性监控集成，这可能比当前 Osquery Manager 的可用选项更容易配置。

Osquery 使用 SQLite 的超集进行查询。要开始使用 osquery SQL，请参阅 Osquery 文档。如需更高级问题的帮助，Osquery 社区拥有一个活跃的 Slack 工作区和 GitHub 项目。您可以在 osquery.io 上找到这两个链接。

当发布新的 Osquery 版本时，它会包含在随后的 Elastic Agent 版本中，并在代理升级时应用。之后，当从 Kibana 中的 Osquery Manager 运行查询时，将使用更新后的 Osquery 版本。有关 升级 Fleet 管理的 Elastic Agent 的帮助，请参阅 Fleet 和 Elastic Agent 指南。

要检查 Elastic Agent 上安装的 Osquery 版本，您可以在 Kibana 中运行 SELECT version FROM osquery_info; 作为实时查询。响应中的 version 是代理上安装的 Osquery 版本。