osquery
はFacebookが開発しているSQLベースの攻撃/侵入検出ツールです。
SQLベースのクエリで情報が取得できるのでかなり使い勝手が良いです。
環境
- macOS Sierra
インストール
Homebrewでosquery
をインストールできます。
$ brew install osquery
起動
osqueryi
を起動します。
$ osqueryi
Using a virtual database. Need help, type '.help'
osquery>
SQLを書く
リッスンしているポートの一覧を取得してみます。
osquery> select * from listening_ports;
+------+-------+----------+--------+-----------+
| pid | port | protocol | family | address |
+------+-------+----------+--------+-----------+
| 95 | 0 | 17 | 2 | 0.0.0.0 |
| 95 | 0 | 0 | 0 | |
| 271 | 51047 | 17 | 2 | 0.0.0.0 |
| 565 | 27017 | 6 | 2 | 0.0.0.0 |
| 1855 | 3000 | 6 | 10 | ::1 |
| 1855 | 3000 | 6 | 2 | 127.0.0.1 |
| 7205 | 38069 | 6 | 2 | 127.0.0.1 |
+------+-------+----------+--------+-----------+
取得できる情報(テーブル)はこちらの公式に載っています。