osquery est un outil Open Source développé par la team Facebook pour requêter directement les données système via une syntaxe proche de SQL. C’est un moyen intuitif et simple de faire de l’analytics de bas niveau sur le système d’exploitation.
Ecrit en C++, osquery expose le système d’exploitation sous la forme d’une base de données relationnelle, où les concepts abstraits sont présentés sous forme de tables :
- processus en cours ;
- modules du noyau chargés ;
- connexions réseau …
Voici un exemple de ce qu’il est possible de faire avec osquery.
http://showterm.io/65ec8d4eb3c9896815333
Une API permet de rajouter de nouveaux concepts à la liste des tables disponibles.
Les requêtes peuvent être utilisées de différentes façon :
- lancées pontuellement pour connaitre l’état du système à un instant t ;
- lancées de façon cyclique, pour monitorer une machine ;
- interrogé par une autre application via ses API ;
vienergie 