2018年7月23日月曜日

Vagrantでosqueryをインストールした仮想マシン(Ubuntu16.04)を構築する

osqueryでシステムの様々な情報をSQLで参照する事が事ができます。

〇構築方法
以下のVagrantfileを使用して、osqueryをインストールした仮想マシン(Ubuntu16.04)を構築します。
仮想マシンにログイン後、osqueryiコマンドを使用してシステム情報を取得します。参照できるテーブルはhttps://osquery.io/schema/に記されています。

Vagrantfile
VAGRANTFILE_API_VERSION = "2"

Vagrant.configure(VAGRANTFILE_API_VERSION) do |config|
  config.vm.box = "bento/ubuntu-16.04"
  config.vm.hostname = "ub1604osquery"
  config.vm.provider :virtualbox do |vbox|
     vbox.name = "ub1604osquery"
     vbox.cpus = 2
     vbox.memory = 2048
     vbox.customize ["modifyvm", :id, "--nicpromisc2","allow-all"]
  end
config.vm.network "private_network", ip: "192.168.55.104", :netmask => "255.255.255.0"
config.vm.network "public_network", ip:"192.168.1.104", :netmask => "255.255.255.0"
  config.vm.provision "shell", inline: <<-SHELL
sed -i -e 's/# ja_JP.UTF-8 UTF-8/ja_JP.UTF-8 UTF-8/' /etc/locale.gen
locale-gen
localectl set-locale LANG=ja_JP.UTF-8
localectl set-keymap jp106
apt-get update
DEBIAN_FRONTEND=noninteractive apt-get -y -o Dpkg::Options::="--force-confdef" -o Dpkg::Options::="--force-confold" upgrade

# install osquery
wget https://pkg.osquery.io/deb/osquery_3.2.6_1.linux.amd64.deb
dpkg -i osquery_3.2.6_1.linux.amd64.deb

# sample query
sudo osqueryi "select * from device_partitions where device = '/dev/sda'"

SHELL
end

0 件のコメント:

コメントを投稿