主机资产采集开源工具osqeury使用后的心得

osquery是facebook开源工具中一款主机资产数据采集的工具，osquery底层将主机的各种资产打包成一张张类似于数据表的文件。可以通过sql语句进行查询主机的资产数据，这些数据包括，系统信息，进程信息，网络信息等等。目前osquery支持windows  linux  MAC，官网上提供了各个版本的安装包和源代码。https://osquery.io/

本人使用osquery是因为在项目中需要采集主机的资产数据应用到项目中，但是花费了好多时间在上边，其实应用后真的很简单。osquery可以和很多开源的工具一块使用（ELK,KAFKA,SYSLOG-NG,MYSQL,REDIS）等。本文使用osquery是安装在centOS6.8环境

使用过程的方案：

yum install osqeury -version 4.02

cp /usr/share/osquery/osquery.example /etc/osquery/osquery.conf

1.第一种方案

打开osquery.conf配置文件，osquery配置文件都是基于这个配置文件运行的

修改osquery.conf中options中的logsystem，filesystem为filesystem

service osqueryd start

osqueryd运行后查看/var/log/osquery

osquery.results.log中收集上来的就是主机资产数据，这些查询的sql都是配置在osquery.conf中的querys选项中

安装logstash

。。。

在logstash的中新建一个*.properties文件，具体logsthsh可以查看百度，这是一个很成熟的工具

logstash中可以对应到kafka，redis，mysql中，这样就做到了数据采集存储到redis或者mysql中

2.第二种方案

osquery.conf中可以直接配置kafka

3.第三种方案

二次开发，搭建https服务器，通过在osquery.conf中配置log-point,enroll-point,config-poing访问后台的url实时轮询主机资产数据

后台接受数据后可以进行各种操作，存库，缓存，kafka等都有自身决定。