Когда osquery работает в режиме демона, вы можете включить средства распределенных запросов .Когда это включено, osqueryd будет периодически регистрироваться на удаленном сервере, чтобы увидеть, есть ли запросы для его выполнения (типичные интервалы для этого диапазона проверки от 10 секунд до 1 минуты).
Обратите внимание, что из-заПрирода среды, в которой работает osquery, агент osquery не прослушивает входящие соединения.Он только когда-либо устанавливает исходящие подключения к удаленному серверу для проверки выполнения запросов.
Чтобы воспользоваться этим, вам нужен сервер, реализующий удаленные API-интерфейсы osquery.Доступно несколько вариантов с открытым исходным кодом:
Fleet (заявление об отказе: я создаю это)
Zentral
Швейцар
SGT
Примечание по безопасности : обеспечение удаленного выполнения на агенте osquery может быть очень опасным, так как он может получитьконфиденциальная информация на устройстве, на котором он работает.Если вы планируете обслуживать какую-то веб-страницу, разрешающую прямые запросы к вашему агенту, учтите, что поскольку osquery предоставляет абстракцию SQL вашей системы, она может быть уязвима для инъекций .