Wie führe ich eine Abfrage alle 5 Minuten durch?

Question

Ich bin sehr neu in OSQuery und ich möchte alle 5 Minuten eine Abfrage ausführen (z. B. SELECT * FROM last). Gibt es eine Chance, ein Skript zu definieren, das diese Routine in einer Crontab oder etwas anderem ausführt?

Wahrscheinlich sollte es reichen, um das Skript mit der Abfrage als Parameter auszuführen, aber es gibt nichts in der Dokumentation, also ich denke, es wird noch nicht unterstützt.

Ich habe ihre Community und auch ihre FAQ überprüft, aber habe nichts in Bezug auf mein Problem gefunden.

OSQuery ist derzeit auf der neuesten Version (1.7.3), selbst kompiliert, läuft auf Ubuntu Server, 64 Bit 15.10.

Wenn Sie weitere Informationen benötigen, um mir zu helfen, lassen Sie es mich wissen.

Answer 1

Vielleicht könnten Sie ein Skript (oder ein C-Programm) schreiben, um Ihre Abfrage durchzuführen.

Und dann verwenden Sie die Cron, um Ihr Programm alle 5 Minuten auszuführen.

Answer 2

Nach noch mehr Dokumentation und verschiedenen Seiten habe ich ein ziemlich cooles Snippet gefunden, das es ermöglicht, die Abfrage als Parameter zu senden, indem der osqueryi-Prozess aufgerufen wird.

/path/to/osqueryi --json "YOUR QUERY"

Und das gibt das Ergebnis in Ihrem Terminal - JSON-Format. Es ist also ziemlich einfach, ein Skript (irgendeine Sprache) zu schreiben, das obige Snippet auszuführen und den Inhalt zu analysieren. Dieses Skript kann auch ein Cron sein.

Answer 3

Die empfohlene Methode verwendet geplante Abfragen. Sie erstellen ein "Paket" wie eines dieser GitHub link, das die Abfragen und Frequenzen enthält. Aktualisieren Sie dann die osqueryd-Konfiguration, um das Paket aufzunehmen.