मैं WEF/WEC वाले वातावरण में OSQuery का उपयोग करने का प्रयास कर रहा हूं और जो मैं करने का प्रयास कर रहा हूं वह WEC सर्वर में सदस्यता के माध्यम से संग्रहीत सभी Windows ईवेंट एकत्र करना है।
मेरी समस्या यह है कि जब मैं OSQuery के माध्यम से विंडोज़ ईवेंट एकत्र करता हूं तो मुझे लगता है कि मैं "कंप्यूटर" फ़ील्ड प्राप्त करने में सक्षम नहीं हूं जिसमें होस्टनाम शामिल है जो वास्तव में ईवेंट उत्पन्न करता है।
क्या किसी ने यह काम करने का प्रबंधन किया? या यह OSquery की वास्तविक सीमा है? windows_events तालिका स्कीमा को देखते समय (https://osquery.io/schema/4.5.1 /#windows_events) ऐसा नहीं लगता कि "कंप्यूटर" फ़ील्ड को ध्यान में रखा गया है।
एक उदाहरण के रूप में, मेरे पास DESKTOP-JC2OUUQ नामक होस्ट में एक WEC कॉन्फ़िगर किया गया है और मेरे पास DESKTOP-BEH0A7O नामक लैपटॉप के लिए एक सदस्यता है। इवेंटलॉग WEC की ओर सही ढंग से बह रहे हैं और मैं उन्हें प्राप्त कर सकता हूं। मुझे प्राप्त होने वाली घटनाओं में से एक निम्नलिखित है:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event" xml:lang="en-US">
<System>
<Provider Name="Microsoft-Windows-Security-SPP" Guid="{E23B33B0-C8C9-472C-A5F9-F2BDFEA0F156}" EventSourceName="Software Protection Platform Service" />
<EventID Qualifiers="16384">16384</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2020-10-22T16:20:17.2647971Z" />
<EventRecordID>907</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>DESKTOP-BEH0A7O</Computer>
<Security />
</System>
<EventData>
<Data>2020-12-18T12:30:17Z</Data>
<Data>RulesEngine</Data>
</EventData>
<RenderingInfo Culture="en-US">
<Message>Successfully scheduled Software Protection service for re-start at 2020-12-18T12:30:17Z. Reason: RulesEngine.</Message>
<Level>Information</Level>
<Task />
<Opcode />
<Channel />
<Provider>Microsoft-Windows-Security-SPP</Provider>
<Keywords>
<Keyword>Classic</Keyword>
</Keywords>
</RenderingInfo>
</Event>
जब मैं इस घटना को OSQuery के साथ एकत्र करने का प्रयास करता हूं, तो मुझे निम्न आउटपुट मिलता है:
{
"name": "windows_events_query",
"hostIdentifier": "DESKTOP-JC2OUUQ",
"calendarTime": "Thu Oct 22 16:26:14 2020 UTC",
"unixTime": 1603383974,
"epoch": 0,
"counter": 0,
"numerics": false,
"decorations": {
"host_uuid": "A7A0828C-1264-4E24-A67F-F5B69BE86165",
"username": "vagrant"
},
"columns": {
"data": "{\"EventData\":[\"2020-12-18T12:30:17Z\",\"RulesEngine\"]}",
"datetime": "2020-10-22T16:20:17.2647971Z",
"eventid": "16384",
"keywords": "0x80000000000000",
"level": "4",
"provider_guid": "{E23B33B0-C8C9-472C-A5F9-F2BDFEA0F156}",
"provider_name": "Microsoft-Windows-Security-SPP",
"source": "Application",
"task": "0",
"time": "1603383958"
},
"action": "added"
}
जैसा कि आप देख सकते हैं, अन्य क्षेत्रों में मैं "कंप्यूटर" टैग नहीं देख रहा हूं, जो मेरी जानकारी के लिए केवल एक ही वास्तविक होस्ट है जिसने ईवेंट उत्पन्न किया है। क्या OSQuery के साथ उस मान को प्राप्त करने का कोई तरीका है या यह एक सीमा है?
धन्यवाद!
1 उत्तर
Osquery ने Computer फ़ील्ड का समर्थन नहीं किया। यह अब करता है:
https://github.com/osquery/osquery/pull/6952
संबंधित सवाल
नए सवाल
windows
Microsoft Windows ऑपरेटिंग सिस्टम के लिए विशिष्ट सॉफ्टवेयर लिखना: एपीआई, व्यवहार, आदि सामान्य विंडो समर्थन OFF-TOPIC है। समर्थन प्रश्न https://superuser.com पर पूछे जा सकते हैं
hostIdentifierहै जो XML में<Computer>के अलावा किसी अन्य चीज़ से मैप नहीं करता है।decorations.host_uuidभी है, जिसमें वह जानकारी हो सकती है जिसकी आपको आवश्यकता है यदि आप यह पता लगाते हैं कि इसे कैसे डिकोड करना है (कहीं एक मानचित्रण तालिका होनी चाहिए)